Sophos Mobile Control Administratorhandbuch
Transcrição
Sophos Mobile Control Administratorhandbuch
Sophos Mobile Control Administratorhandbuch Produktversion: 2.5 Stand: Juli 2012 Inhalt 1 Glossar ................................................................................................................................................................ 3 2 Über Sophos Mobile Control ............................................................................................................................ 4 3 Voraussetzungen................................................................................................................................................ 6 4 Einloggen ............................................................................................................................................................ 7 5 Überblick ............................................................................................................................................................ 8 6 Gemeinsame Elemente .................................................................................................................................... 17 7 Assistenten........................................................................................................................................................ 24 8 Auftragsstatus .................................................................................................................................................. 25 9 Inventar ............................................................................................................................................................ 28 10 Provisionierung (Ersteinrichtung) ................................................................................................................. 36 11 Applikationen................................................................................................................................................... 38 12 Konfigurationen............................................................................................................................................... 41 13 Kommandopakete ........................................................................................................................................... 43 14 Backup .............................................................................................................................................................. 45 15 Auftragspakete ................................................................................................................................................. 46 16 Datenzähler ...................................................................................................................................................... 47 17 Das Sophos Mobile Control Self Service Portal ............................................................................................ 48 18 Fehlerbehebung ............................................................................................................................................... 50 19 Technischer Support ....................................................................................................................................... 51 20 Rechtliche Hinweise......................................................................................................................................... 52 ww.utimaco.de Administratorhandbuch 1 Glossar Begriff Erklärung GPRS Netzwerk Mobiles Netzwerk für paketorientierte Datenübertragung UMTS/3G Netzwerk Mobiles Netzwerk für paketorientierte Datenübertragung IMEI International Mobile Equipment Identity, die eindeutige Seriennummer eines Mobilgeräts. OTA Over-The-Air SMS Short Message Service APNS Apple Push Notification Service BES RIM BlackBerry Enterprise Server OMA DM Open Mobile Alliance Device Management OMA DS Open Mobile Alliance Data Synchronization MDM Mobile Device Management PDA Personal Digital Assistant 3 3 Sophos Mobile Control 2 Über Sophos Mobile Control Sophos Mobile Control ist eine Device Management Lösung für Mobilgeräte wie Smartphones und Tablets. Sophos Mobile Control ermöglicht Konfiguration, Software-Verteilung, Definition von Sicherheitseinstellungen und viele andere Mobile Device Management Funktionen bei Mobilgeräten. Das Sophos Mobile Control System besteht aus einer Server- und einer Client-Komponente, die über Datenverbindungen und SMS kommunizieren. Mit Sophos Mobile Control schützen Sie Ihre Unternehmensdaten durch die Verwaltung und Steuerung von Apps und Sicherheitseinstellungen. Der Sophos Mobile Control Client lässt sich schnell und einfach installieren und verwalten. Dies wird durch Over-the-air-Setup und Konfiguration über die Sophos Mobile Kontrol Web-Konsole erreicht. Mit dem Sophos Mobile Control Self Service Portal für Ihre Benutzer können Sie IT-Aufwände reduzieren, indem Sie die Benutzer dazu berechtigen, Ihre eigenen Geräte zu registrieren und andere Aufgaben auszuführen. Hierzu ist keine Unterstützung durch den Helpdesk erforderlich. Sophos Mobile Control unterstützt derzeit folgende Plattformen für Mobilgeräte: Android Apple iOS Windows Mobile BlackBerry (über BlackBerry Enterprise Server) Hinweis: Für BlackBerry-Geräte werden nur die folgenden Funktionen unterstützt: Anzeigen der Geräte in Sophos Mobile Control, Sperren, Wipe, Anzeigen des Software-Inventars und der Geräteeigenschaften. Das Self Service Portal unterstützt BlackBerry-Geräte nicht. Die unterstützten Funktionen können je nach Plattform variieren. Im Sophos Mobile Control Technical Guide (Englisch) finden Sie eine Matrix der für die verschiedenen Plattformen unterstützten Features. Dieses Administratorhandbuch beschreibt die Sophos Mobile Control Administrator-Web-Konsole. 4 Administratorhandbuch 2.1 Terminolgie Im Handbuch werden folgende Begriffe verwendet: Begriff Erklärung Gerät Das Gerät, das mit Sophos Mobile Control verwaltet werden soll (Smartphone, PDA usw.). Client Der auf dem Gerät installierte Sophos Mobile Control Client, eingebauter MDM Client iOS4. Endbenutzer Der Endbenutzer des Geräts. Server Die zentrale Komponente in der Sophos Mobile Control Architektur. Web-Konsole Die Web-Oberfläche des Servers, die zur Verwaltung der Geräte benutzt wird. Administrator Die Person, die die Web-Konsole benutzt. Kunde Der Mandant, dessen Geräte mit Sophos Mobile Control verwaltet werden. Provisionierung (Ersteinrichtung) Der Vorgang der Ausstattung des Geräts mit Sophos Mobile Control. 2.2 Benutzerrollenkonzept Aufgrund des Berechtigungskonzepts von Sophos Mobile Control stehen u. U. nicht alle beschriebenen Module/Aktionen zur Verfügung. Auch einige der in den Abbildungen gezeigten Schaltflächen werden u. U. in Ihrer Web-Oberfläche nicht angezeigt. Die den unterschiedlichen Modulen und Aktionen zugewiesenen Berechtigungen sind in den Benutzerrollen definiert. In der Regel gibt es folgende Rollen: Rolle Beschreibung Administrator Ist zur Durchführung aller Aktionen berechtigt. User Ist zur Durchführung von Aktionen berechtigt, die die Installation und Verwaltung bei einem Mobilgerät betreffen. Die Berechtigungen umfassen jedoch nicht grundlegende Einstellungen (z. B. Ändern eines Benutzers, Client-Pakets oder einer Vorlage). Helpdesk Diese Rolle ist nur für den Support gedacht und hat die wenigsten Berechtigungen (z. B. Installation von Software-Paketen) und keinen Zugriff auf kritische Funktionen. 5 5 Sophos Mobile Control 3 Voraussetzungen Für die Benutzung der Web-Konsole benötigen Sie ein Sophos Mobile Control Benutzerkonto. Das Konto ist über folgende Informationen definiert: Kunde User Kennwort Außerdem benötigen Sie einen Computer mit Internetverbindung. Auf dem Computer muss einer der folgenden Internet-Browser zur Verfügung stehen. Wir empfehlen, jeweils die aktuelle BrowserVersion zu verwenden. Microsoft Internet Explorer 6 (oder höher) Mozilla Firefox 3.0 (oder höher) Google Chrome Apple Safari Für die Web-Konsole muss JavaScript aktiviert sein. 6 Administratorhandbuch 4 Einloggen So melden Sie sich an der Web-Konsole an: 1. Geben Sie die Sophos Mobile Control Server URL in Ihrem bevorzugten Internet-Browser ein. 2. Geben Sie die Anmeldeinformationen für Ihr Benutzerkonto ein. 3. Klicken Sie auf Einloggen, um die Daten an den Server zu schicken. Sind die Anmeldeinformationen korrekt, erhalten Sie Zugriff auf die Web-Konsole. Sind die Anmeldeinformationen nicht korrekt, so wird eine Fehlermeldung angezeigt. Der Zugriff wird verweigert. Hinweis: Je nach den für Ihr Konto definierten Kennwortrichtlinien wird das Konto unter Umständen nach einer festgelegten Anzahl an fehlgeschlagenen Anmeldeversuchen gesperrt. Wenden Sie sich in diesem Fall an Ihren Systemadministrator. 4.1 Kennwort-Recovery Wenn Sie Ihr Kennwort für die Anmeldung an der Sophos Mobile Control Web-Konsole vergessen haben, können Sie es zurücksetzen, um ein neues Kennwort zu erhalten. 1. Klicken Sie im Einloggen Dialog auf Kennwort zurücksetzen. Der Kennwort zurücksetzen Dialog wird angezeigt. 2. Geben Sie Ihre Informationen in den Feldern Kunde und Benutzer ein und klicken Sie auf Zurücksetzen. Sie erhalten eine E-Mail mit einem Link zum Zurücksetzen Ihres Kennworts. 3. Klicken Sie auf den Link. Der Einloggen Dialog mit einer Meldung, dass Ihnen ein neues Kennwort zugesendet wurde, wird angezeigt. Die zweite E-Mail enthält ein per Zufall generiertes Kennwort. 4. Geben Sie das Kennwort ein, um sich anzumelden. Sie werden an der Sophos Mobile Control Web-Konsole angemeldet und dazu aufgefordert, Ihr Kennwort zu ändern. 7 7 Sophos Mobile Control 5 Überblick Nach der Anmeldung wird die Homepage mit der Startseite Ansicht angezeigt. Die Homepage besteht aus einem Header, einer Menüleiste und der Ansicht. Der Header und die Menüleiste sind statisch. Die Ansicht ist dynamisch und ändert sich je nach Thema. 5.1 Header Im oberen Teil der Web-Oberfläche befinden sich die Schaltflächen Filter, Home, Hilfe und Abmelden. Schaltfläche Beschreibung Inaktiver Filter – Diese Schaltfläche öffnet die Filterfunktion. Mit der Filterfunktion lässt sich die Anzahl an Posten reduzieren, die in einer Liste angezeigt werden. Für weitere Informationen, siehe Filter (Seite 21). Inaktiver Filter – Diese Schaltfläche öffnet die Filterfunktion. Mit der Filterfunktion lässt sich die Anzahl an Posten reduzieren, die in einer Liste angezeigt werden. Für weitere Informationen, siehe Filter (Seite 21). Die Home Schaltfläche öffnete die Homepage mit der Startseite Ansicht. Diese Schaltfläche öffnet einen Link zum Administratorhandbuch als PDF. Mit dieser Schaltfläche meldet sich der aktuell angemeldete Benutzer von der WebOberfläche ab. 8 Administratorhandbuch 5.2 Menü Über das Menü auf der linken Seite der Web-Oberfläche gelangen Sie zu Modulen und Funktionen. Klicken Sie auf ein Hauptmodul, um die untergeordneten Funktionen mit einer kurze Beschreibung zu öffnen. Sie können Funktionen auch direkt öffnen. 5.3 Die Startseite-Ansicht Die Startseite Ansicht zeigt Informationen zum derzeit angemeldeten Benutzer (z. B. Kunde, Benutzername und Rolle), die Gesamtanzahl an Geräten, die Anzahl an lizenzierten Geräten und den Gültigkeitszeitraum für Lizenzen. Über diesen Informationen werden folgende Schaltflächen angezeigt: Symbol Beschreibung Öffnet den Einstellungen Dialog. Öffnet den Kennwort ändern Dialog. Öffnet die Benutzerverwaltung für die Verwaltung von Benutzern der Sophos Mobile Control Web-Konsole. Öffnet die interne Benutzerverwaltung für die Verwaltung von Self Service Portal Benutzern. Hinweis: Diese Schaltfläche wird nur für Kunden angezeigt, für die die interne Benutzerverwaltung definiert wurde. Für weitere Informationen, siehe Interne Benutzerverwaltung (Seite 13). Öffnet den Technischer Kontakt Dialog. Öffnet den Compliance Einstellungen Dialog. Öffnet einen graphischen Bericht zum Inventarstatus. Dieser Bericht zeigt die folgenden Informationen in Tortendiagrammen: Geräte, die compliant/nicht compliant sind. Firmengeräte/private Geräte Geräte nach Betriebssystemtyp Geräte nach Betriebssystemversion per Betriebssystemtyp 9 9 Sophos Mobile Control Außerdem wird eine Dashboard-Übersicht zu den verwalteten Geräten angezeigt: Gerätestatus: Zeigt den Status registrierter Geräte: Anzahl an Geräten, die compliant/nicht compliant sind, Anzahl an verwalteten/nicht verwalteten Geräten, Anzahl an Geräten, für die die SSPKonfiguration abgeschlossen wurde/aussteht/fehlgeschlagen ist und die Anzahl an Firmengeräten und privaten Geräten. Für iOS-Geräte wird die Anzahl an Checked Out Geräten angezeigt. Dies sind Geräte, von denen die Benutzer das MDM-Profil manuell entfernt haben. In diesem Fall benachrichtigt das iOS-Gerät den MDM-Server. Hinweis: Das iOS Feature "Checkout" wird ab iOS 5 unterstützt. Plattformen: Zeigt die Anzahl an Geräten für die einzelnen Plattformen. Gerätegruppen: Zeigt die Gerätegruppen mit der jeweiligen Anzahl an zugehörigen Geräten. Klicken Sie auf eine Tabellenzeile, um eine Detailansicht dieses Dashboard-Elements zu öffnen. 5.3.1 Einstellungen Der Einstellungen Dialog hat folgende Registerkarten: Persönlich In dieser Registerkarte können Sie die Plattformen angeben, die Sie verwenden möchten, und die maximale Anzahl an anzuzeigenden Datensätzen pro Tabellenseite festlegen. Sie können zwischen 20 und 100 Datensätzen pro Tabellenseite auswählen. Wenn Sie spezifische Plattformen auswählen, können Sie nur diese Plattformen mit Sophos Mobile Control verwenden. Alle anderen Plattformen werden verborgen. Darüber hinaus werden alle Module und Funktionen verborgen, die für eine spezifische Plattform nicht benötigt werden. Hinweis: Diese Einstellungen sind benutzerspezifisch. Sie müssen für jeden Benutzer separat definiert werden. Self Service Portal Mit dem Sophos Mobile Control Self Service Portal können Endbenutzer ihre Geräte selbst registrieren. In der Self Service Portal Registerkarte geben Sie an, für welche Plattformen die Registrierung über das Self Service Portal verfügbar sein soll. Darüber hinaus geben Sie die relevante Gerätevorlage, die Standardgruppe und das relevante Auftragspaket an. In dieser Registerkarte ist auch eine Tabelle für die Zuordnung von Geräten zu Gruppen und Profilen auf der Grundlage der Active Directory/LDAP-Benutzerzugehörigkeit verfügbar. In dieser Tabelle können Sie spezifische SSP-Konfigurationen für Active Directory Gruppen für Benutzer definieren. Wenn sich ein Benutzer am Self Service Portal anmeldet, werden die in dieser Tabelle definierten Gruppen von oben nach unten für diesen Benutzer ausgewertet. Wenn der Benutzer einer der Gruppen angehört, gilt die definierte SSP-Konfiguration. Klicken Sie auf die Hinzufügen Schaltfläche über der Tabelle, um eine neue Gruppe hinzuzufügen. 10 Administratorhandbuch Führen Sie in der Ansicht SSP Konfiguration bearbeiten, folgende Schritte durch: Geben Sie einen Namen für die SSP-Konfigurationsgruppe ein. Geben Sie im Benutzergruppe Feld die Active Directory Gruppe ein. Sie können den Platzhalter * verwenden, um mehrere Gruppen anzugeben. Wählen Sie unter Plattform die Plattformen, die im Self Service Portal zur Verfügung stehen sollen. Wählen Sie unter Einfügen in Gerätegruppe die Gruppe, zu der das Gerät hinzugefügt werden soll. Wählen Sie unter Auftragspaket, die auszuführenden Auftragspakete. Sie können außerdem einen Text für eine Mobil-Richtlinie, einen Disclaimer oder eine Vereinbarung konfigurieren. Dieser Text wird im ersten Schritt angezeigt, wenn die Benutzer Geräte registrieren. Die Self Service Portal Benutzer müssen bestätigen, dass Sie diesen Text gelesen haben, um fortfahren zu können. Neben dem Vereinbarungstext können Sie auch einen Post Install Text definieren. Dieser Text wird im Self Service Portal nach den automatischen Installationsschritten angezeigt, um dem Benutzer Hilfestellung bei den darauf folgenden erforderlichen Schritten (z. B. Konfiguration des Servers in der iOS App oder Konfiguration des Android Mail Client) zu bieten. Für die Texte werden HTML Formatierungs-Tags unterstützt. Die Texte werden entsprechend im Browser angezeigt. Außerdem können Sie die maximale Anzahl an Geräten angeben, die ein Benutzer über das Self Service Portal registrieren kann. Durch Festlegung einer maximalen Anzahl können Sie Lizenzüberschreitungen vermeiden. Sie können auch festlegen, welche Funktionen für die Benutzer im Self Service Portal zur Verfügung stehen sollen. So ist es unter Umständen sinnvoll, die Zurücksetzen-Funktion zu deaktivieren, da ein verlorenes Gerät eine erhebliches Compliance-Risiko darstellt und hier zusätzliche Aktionen mit Unterstützung durch den Helpdesk erforderlich sind. Provisioning per E-Mail In dieser Registerkarte können Sie eine E-Mail Vorlage für die Ersteinrichtung von Geräten über E-Mail definieren. Bei der Provisionierung per E-Mail werden die Geräte anstelle per SMS durch Senden einer E-Mail an ein Konto (persönliches Konto oder Firmen-Mail-Konto) registriert, das auf dem Gerät zur Verfügung steht. Sie müssen einen Absender und einen Betreff angeben. Im Textfeld müssen Sie den Inhalt der E-Mail vordefinieren. Für den Download-Link müssen Sie den Platzhalter _DOWNLOAD_LINK_ verwenden. Dieser wird in der an die Geräte geschickten E-Mail durch den korrekten Link ersetzt. Für weitere Informationen siehe Provisionierung per E-Mail (Seite 36). 11 11 Sophos Mobile Control Kennwortrichtlinien In dieser Registerkarte können Sie Regeln für das Festlegen oder Ändern von Kennwörtern für Benutzer in Sophos Mobile Control definieren. Sie können einen Kennwort-Änderungsintervall, Einschränkungen für die Wiederverwendung sowie eine maximale Anzahl an fehlerhaften Anmeldeversuchen definieren. Für die Kennwörter selbst können Sie eine minimale Kennwortlänge sowie die minimale Anzahl an Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern definieren. Unter Einstellungen "Kennwort vergessen"-E-Mail definieren Sie die E-Mail, die an Benutzer gesendet werden soll, wenn diese das Zurücksetzen ihres Kennworts angefordert haben. Sie müssen einen Absender und einen Betreff angeben. In den Textfeldern müssen Sie den Inhalt der E-Mail vordefinieren. Die Platzhalter _NEW_PASSWORD_ und _RESET_TOKEN_LINK werden in den E-Mails durch die entsprechenden Werte ersetzt. SSP Welcome E-Mail In dieser Registerkarte definieren Sie die Willkommens-E-Mail, die an Self Service Portal Benutzer gesendet wird, um diese über Ihre Anmeldedaten zu informieren. Sie müssen einen Absender und einen Betreff angeben. Im Textfeld müssen Sie den E-Mail-Inhalt vordefinieren. In der E-Mail müssen Sie auch einen Link (durch den Platzhalter _RESET_TOKEN_LINK_) für das Erzeugen eines Kennworts für den Benutzer aufnehmen. Die Platzhalter _RESET_TOKEN_LINK, _LOGINNAME_, _FIRSTNAME_ und _LASTNAME_ werden in der E-Mail durch die entsprechenden Werte ersetzt. Wenn Sie die Self Service Portal Willkommens-E-Mail hier konfiguriert haben, steht in der internen Benutzerverwaltung das Feld Welcome Mail versenden zur Verfügung, siehe Anlegen von Benutzern mit der internen Benutzerverwaltung (Seite 13). iOS APNS (Apple Push Notification Service) In dieser Registerkarte können Sie den “Apple Push Notification keystore" hochladen. Dieser ist für die Benutzung von APNS notwendig. RIM BES (BlackBerry Enterprise Server) In dieser Registerkarte können Sie die BES URL und das Konto angeben, das für die Benutzung mit Sophos Mobile Control konfiguriert ist. 5.3.2 Ändern des Kennworts In diesem Dialog können Sie Ihr Benutzerkennwort ändern. Geben Sie das alte Kennwort sowie ein neues ein und bestätigen Sie das neue Kennwort. 12 Administratorhandbuch 5.3.3 Benutzerverwaltung (für Benutzer der Sophos Mobile Control Web-Konsole) Die Benutzerverwaltung bietet Ihnen einen schnellen Überblick zu allen registrierten Benutzern der Sophos Mobile Control Web-Konsole. Um alle Benutzerinformationen anzeigen zu lassen, klicken Sie auf die Lupen-Schaltfläche. Sie können die Tabelle nach Loginnamen oder Nachnamen sortieren. Sie können auch Benutzer hinzufügen, ändern oder löschen. Für Benutzer müssen die relevanten Benutzerinformationen und vor allem Kennwörter angegeben werden. Außerdem müssen Sie die Benutzerrolle angeben. In einer Standard-Installation gibt es drei Benutzerrollen: Administrator User Helpdesk Um einen neuen Benutzer hinzuzufügen, klicken Sie auf die Neuen Benutzer anlegen Schaltfläche. Der Benutzer bearbeiten Dialog wird angezeigt. In diesem Dialog können Sie alle relevanten Benutzerinformationen eingeben: Loginname, Rolle, Nachname, Vorname und E-Mail. Die meisten registrierten Benutzer sollten die Rolle User haben. Diese Rolle erlaubt standardmäßig alle Aktionen außer das Ändern von: Benutzerverwaltung Sophos Mobile Control Client Paketen Gerätevorlagen 5.3.4 Interne Benutzerverwaltung (für Benutzer des Sophos Mobile Control Self Service Portal) Für Kunden, für die die interne Benutzerverwaltung für Self Service Portal Benutzer definiert ist, steht auf der Startseite die Schaltfläche Interne Benutzerverwaltung zur Verfügung. Klicken Sie auf diese Schaltfläche, um die interne Benutzerverwaltung zu öffnen. Hinweis: Ob für einen Kunden die interne Benutzerverwaltung oder die LDAP-Benutzerverwaltung für Self Service Portal Benutzer verwendet wird, wird beim Erstellen des Kunden festgelegt. Für weitere Informationen, siehe die Sophos Mobile Control Superadministratoranleitung. 5.3.4.1 Anlegen von Benutzern mit der internen Benutzerverwaltung 1. Klicken Sie in der Startseite Ansicht auf die Schaltfläche Interne Benutzerverwaltung. 2. Klicken Sie auf die Neuen Benutzer anlegen Schaltfläche mit dem Pluszeichen. Die Benutzer bearbeiten Ansicht wird angezeigt. 13 13 Sophos Mobile Control 3. Geben Sie die folgenden Informationen für den neuen Self Service Portal Benutzer ein: Stellen Sie sicher, dass das Feld Welcome Mail versenden ausgewählt ist. Dieses Feld steht zur Verfügung, wenn Sie unter Einstellungen in der Registerkarte SSP WelcomeE-Mail eine Willkommens-E-Mail konfiguriert haben, siehe Einstellungen (Seite 10). Wenn dieses Feld nicht angezeigt wird, konfigurieren Sie zuerst eine Willkommens-E-Mail. Diese Mail muss alle erforderlichen Anmeldedaten enthalten. Benutzername Nachname Vorname E-Mail Telefonnummer (optional) Der neue Self Service Portal Benutzer wird in der Benutzer anzeigen Ansicht angezeigt. Eine E-Mail mit der Self Service Portal URL und den Anmeldedaten wird an den Benutzer geschickt. 5.3.4.2 Importieren von Benutzern mit der internen Benutzerverwaltung Wenn für einen Kunden die interne Benutzerverwaltung verwendet wird, können Sie neue Benutzer durch Importieren einer .csv-Datei mit bis zu 300 Benutzern hinzufügen. Auf der Import-Seite steht eine Musterdatei mit den korrekten Spaltennamen und der richtigen Spaltenreihenfolge zum Download zur Verfügung. Hinweis: Verwenden Sie einen Text-Editor zum Bearbeiten der .csv-Datei. Wenn Sie Microsoft Excel verwenden, werden die eingegebenen Werte u. U. nicht korrekt aufgelöst. Speichern Sie die Datei mit der Dateinamenerweiterung .csv. 1. Klicken Sie in der Startseite Ansicht auf die Schaltfläche Interne Benutzerverwaltung. 2. Klicken Sie auf die Benutzer importieren Schaltfläche, die ein kleines, nach unten zeigendes Pfeilsymbol zeigt. Die Benutzer importieren Ansicht wird angezeigt. Wenn Sie noch keine .csv-Datei mit Benutzern haben, können Sie nun eine Musterdatei herunterladen und diese zum Erstellen Ihrer Importdatei verwenden. 3. Stellen Sie sicher, dass das Feld Welcome Mails versenden ausgewählt ist. Dieses Feld steht zur Verfügung, wenn Sie unter Einstellungen in der Registerkarte SSP WelcomeE-Mail eine Willkommens-E-Mail konfiguriert haben, siehe Einstellungen (Seite 10). Wenn dieses Feld nicht angezeigt wird, konfigurieren Sie zuerst eine Willkommens-E-Mail. Diese Mail muss alle erforderlichen Anmeldedaten enthalten. 4. Wählen Sie die zu importierende Datei aus und klicken Sie auf Datei hochladen. Die Einträge in der .csv-Datei werden auf Fehler überprüft und auf der Import-Seite angezeigt. Hinweis: Wenn die .csv-Datei Fehler enthält, kann sie nicht importiert werden. Neben den relevanten Einträgen wird jeweils eine Fehlermeldung angezeigt. Bearbeiten Sie die .csv-Datei entsprechend und versuchen Sie es noch einmal. 5. Wenn alle Einträge korrekt sind, klicken Sie auf die blaue Fertigstellen Schaltfläche. 14 Administratorhandbuch 5.3.5 Technischer Kontakt Im Dialog Technischer Kontakt lassen sich Informationen zu IT-Ansprechpartnern hinterlegen, die bei Fragen oder Problemen weiterhelfen. Um einen technischen Kontakt hinzuzufügen, klicken Sie auf die Bearbeiten Schaltfläche und geben Sie Vornamen, Nachnamen, E-Mail, Telefonnummer und Mobilnummer ein. Im Textfeld Zusatzinformationen können Sie zusätzlich erforderliche Informationen eingeben. Hinweis: Nur Benutzer mit der Benutzerrolle Administrator können die Informationen im Dialog Technischer Kontakt bearbeiten. 5.3.6 Compliance Einstellungen Im Dialog Compliance Einstellungen können Sie eine Compliance-Überprüfung für Geräte konfigurieren. Die Funktion prüft, ob Geräte noch durch SMC gemanaged werden und Ihre Unternehmensrichtlinien für den mobilen Zugriff erfüllen. Sie können pro Kunde ein Set mit Regeln für die Compliance-Überprüfung definieren. Sie können jede Plattform aktivieren/deaktivieren. Klicken Sie auf die Registerkarte für die relevante Plattform, um die Regeln per Gerätetyp festzulegen. Für die Regeln können Sie folgende Compliance-Einstellungen definieren: Min. Client-Version: Geben Sie die mindestens erforderliche Sophos Mobile Control ClientVersion an. Jailbreak erlauben (iOS): Ja/Nein Debug Bridge (ADB) erlauben (Android): Ja/Nein Max. Synchronisationsabstand der iOS App: Wählen Sie die maximale Zeitspanne zwischen Synchronisierungsprozessen der iOS Sophos Mobile Control App aus. Weitere Informationen finden Sie im Sophos Mobile Control Benutzerhandbuch für Apple iOS. Data-Roaming erlaubt (Android, iOS): Ja/Nein Root-Rechte erlauben (Android): Ja/Nein Passcode erforderlich (iOS): Ja/Nein Non-Market Apps erlauben (Android): Ja/Nein. Wenn Benutzer diese Einstellung auf Ihren Geräten ändern, sind diese nicht mehr compliant. Min. OS Version: Wählen Sie die Mindestversion für das Betriebssystem aus. Max. Synchronisationsabstand: Wählen Sie die maximale Zeitspanne zwischen den Synchronisierungsprozessen der Geräte aus. Blacklisted Apps/Whitelisted Apps: Mit diesem Feld können Sie Apps auf Geräten zulassen oder nicht zulassen. Wählen Sie Blacklisted Apps und klicken Sie auf Bearbeiten, um eine Liste mit Apps zu definieren, die Benutzer nicht auf Ihren Geräten installieren dürfen. Wählen Sie Whitelisted Apps und klicken Sie auf Bearbeiten, um eine Liste mit Apps zu definieren, die Benutzer auf Ihren Geräten installieren dürfen. Um eine App zur Liste hinzuzufügen, klicken Sie auf die Hinzufügen Schaltfläche und geben Sie den Namen und den App Identifier in der App bearbeiten Ansicht ein. 15 15 Sophos Mobile Control Hinweis: Wenn Sie Whitelisted Apps verwenden, können nur die in der Liste enthaltenen Apps installiert werden. Alle anderen Apps sind nicht zulässig. Erforderliche Apps: Klicken Sie auf Bearbeiten, um eine Liste mit Apps zu definieren, die auf den Geräten installiert sein müssen. Für jede Option können Sie die Aktion Active Sync sperren für den Fall definieren, dass die Geräte die Regeln nicht erfüllen. Erfüllt das Gerät die Regel nicht, so wird der E-Mail-Zugriff automatisch verweigert. Für jede Option können Sie die Aktion Admin benachrichtigen für den Fall definieren, dass die Geräte die Regeln nicht erfüllen. Der Administrator wird dann per E-Mail benachrichtigt. Geben Sie für die Benachrichtigung per E-Mail die relevanten Empfänger unter Admin E-Mail Empfänger an und definieren Sie einen Benachrichtigungszeitplan unter Admin E-Mail Zeitplan. Die E-Mail, die zum angegebenen Zeitpunkt an die definierten Empfänger geschickt wird, enthält alle Geräte, die die Regel, für die das Kontrollkästchen Admin benachrichtigen ausgewählt wurde, nicht mehr erfüllen. Für jede Option können Sie ein Auftragspaket auswählen, dass automatisch ausgeführt wird, wenn ein Gerät die relevante Regel nicht mehr erfüllt. So können Sie zum Beispiel ein Auftragspaket erstellen, das automatisch ein Profil mit einer Reihe von Einschränkungen anwendet, wenn ein Gerät nicht mehr den Richtlinien entspricht. Wählen Sie ein Auftragspaket aus der Auftragspaket übertragen Dropdown-Liste neben den Compliance-Regel-Optionen aus. Hinweis: Das Auftragspaket muss zuerst unter Auftragspakete > Pakete erstellt werden. Für weitere Informationen siehe Auftragspakete (Seite 46). Die Gerätestatus Tabelle in der Startseite Ansicht zeigt, wie viele Geräte die Regeln nicht erfüllen. Klicken Sie auf die Nicht Compliant Zeile, um eine Liste mit allen betroffenen Geräten anzuzeigen. Für Android- und iOS-Geräte wird eine Benachrichtigung an den Gerätebenutzer geschickt, wenn das Gerät nicht mehr den Richtlinien entspricht. Weitere Informationen finden Sie in den Sophos Mobile Control Benutzerhandbüchern für Android und Apple iOS. 16 Administratorhandbuch 6 Gemeinsame Elemente 6.1 Schaltflächen Dieser Abschnitt gibt einen kurzen Überblick zu allen Schaltflächen der Web-Konsole und deren Funktionen. Schaltfläche Beschreibung Navigiert zur nächsten Ansicht des Assistenten. Navigiert zur letzten Ansicht des Assistenten. Liefert weitere Informationen zu einem bestimmten Thema. Dupliziert ein Profil/Kommandopaket. Bestätigt eine Aktion. Bricht eine Aktion ab. Wechselt zur Gerätegruppe(n) wählen Ansicht. Wechselt zur Gerät(e) wählen Ansicht. Beendet einen Assistenten und führt eine Aktion aus. Ermöglicht das Ändern von Einstellungen oder Informationen. Speichert geänderte Einstellungen. Aktualisiert den Inhalt einer Tabelle. Fügt einen Eintrag hinzu. 17 17 Sophos Mobile Control Löscht einen ausgewählten Eintrag. Importiert Einträge. Erstellt einen Gerätebericht (CSV-Datei). 6.2 Tabellen Um die Benutzung der Web-Oberfläche zu vereinfachen, werden alle in Tabellen angezeigten Einträge in der Regel in 20 Einträge pro Seite gruppiert. Mit den Steuerelementen unterhalb der Tabellen können Sie die Tabellenseiten durchblättern. Diese Steuerelemente haben folgende Funktionen: Schaltfläche Beschreibung Zur ersten Seite springen. Fünf Seiten zurück springen. Eine Seite zurück springen. Zu einer bestimmten Seite springen. Eine Seite nach vorne springen. Fünf Seiten nach vorne springen. Zur letzten Seite springen. 18 Administratorhandbuch In den meisten Tabellen lassen sich bei den angezeigten Einträgen Aktionen durchführen. Die Aktionssymbole werden neben den Einträgen angezeigt. Sie lösen folgende Aktionen aus: Symbol Beschreibung Details zu diesem Eintrag anzeigen. Eintrag bearbeiten. Eintrag löschen. Softwarepaket herunterladen, siehe Softwarepakete (Seite 38). In manchen Tabellen können Sie einen oder mehrere Einträge für eine Aktion auswählen. Wählen Sie dazu die Kontrollkästchen neben den relevanten Einträgen. Um alle derzeit angezeigten Einträge auszuwählen, wählen Sie das Kontrollkästchen in der Tabellen-Kopfzeile. Manche Tabellen enthalten auch Optionsfelder, mit denen sich nur exakt ein Eintrag auswählen lässt. 19 19 Sophos Mobile Control Die nächsten beiden Tabellen basieren auf einander. Sie werden beim Einrichten von spezifischen Funktionen als Applikationen oder Systemkomponenten von mehr als einem Gerät oder Gerätegruppen verwendet. Die erste Tabelle wird nur dann angezeigt, wenn mehr als ein Gerät oder eine Gerätegruppe während der Geräte-/Gruppenauswahl ausgewählt wird. Diese Tabelle zeigt alle ausgewählten Geräte oder alle Geräte, die in der/den ausgewählten Gruppe(n) enthalten sind, damit Sie ein Gerät als Datenquelle angeben können. Die Auswahl eines Geräts als Datenquelle erleichtert das Auffinden der richtigen Funktion, da nur die auf dem spezifischen Gerät verfügbaren Funktionen angezeigt werden. Das Ändern einer Einstellung wirkt sich jedoch auf alle ausgewählten Geräte oder Gerätegruppen aus, falls diese die gleichen Funktionen bieten. Einstellungen können aktiviert, beibehalten oder deaktiviert werden. Berücksichtigen Sie, dass verschiedene Geräte unterschiedlich konfiguriert werden können. Durch Aktivieren/Deaktivieren einer Funktion wird diese für alle ausgewählten Geräte aktiviert/deaktiviert. Wenn Sie eine Einstellung unverändert beibehalten, werden die unterschiedlichen Einstellungen der Geräte beibehalten. Wählen Sie mit dem Optionsfeld den gewünschten Wert aus. Die folgenden Symbole stehen für aktivierte/unveränderte/deaktivierte Prozesse: Symbol Beschreibung Aktivierter Prozess Prozess unverändert beibehalten Deaktivierter Prozess In vielen Tabellen lassen sich die angezeigten Einträge sortieren. Felder, die für die Sortierung verwendet werden können, zeigen kleine Pfeilsymbole. Klicken Sie auf die Pfeilsymbole, um die Einträge nach dem ausgewählten Feld zu sortieren. 20 Administratorhandbuch 6.3 Filter Mit Filtern lässt sich die Anzahl an in Listen angezeigten Einträgen nach definierten Kriterien einschränken. Um den Filter zu öffnen, klicken Sie auf das Filter Symbol im Header. Die Sophos Mobile Control Web-Konsole bietet vier verschiedene Filter: Gerätefilter Gerätegruppenfilter Softwarefilter Auftragsfilter Die Filter gelten nicht nur für die derzeit angezeigte Funktion, sondern für alle Funktionen, bei denen Einträge dieses Typs aufgelistet werden. Filter werden als Dropdown-Menüs angezeigt. Eine Statusmeldung gibt an, ob Filter aktiv sind und die Ergebnisanzeige einschränken. Wenn Sie die gewünschten Kriterien ausgewählt haben, klicken Sie auf die Filter Schaltfläche, um den Filter zu aktivieren und die Liste der angezeigten Einträge zu aktualisieren. Um einen Filter zurückzusetzen, klicken Sie auf die Aufheben Schaltfläche. Diese wird angezeigt, wenn ein Filter aktiv ist. Die für die Filter verfügbaren Kriterien werden in den folgenden Abschnitten beschrieben. 21 21 Sophos Mobile Control 6.3.1 Gerätefilter Mit dem Gerätefilter können Sie Gerätelisten filtern. Er bietet folgende Optionen: Option Beschreibung Name Nach Gerätenamen/Teilen von Gerätenamen filtern. IMEI Nach IMEI filtern. Telefonnummer Nach Telefonnummer filtern. Managed Mit dieser Option lassen sich alle provisionierten oder alle nicht provisionierten Geräte anzeigen. Hinweis: Wenn Sie diese Option in Kombination mit der IMEI/Telefonnummer Option verwenden, wird die Ergebnisanzeige nicht weiter eingeschränkt, sondern erweitert. Compliant Mit dieser Option lässt sich nach Geräten filtern, die compliant/nicht compliant sind. Gerät zurückgesetzt Nach zurückgestetzten/nicht zurückgesetzten Geräten filtern. Paket Nach Softwarepaketen/Teilen von Softwarepaketen filtern. Sie können für beide Felder Platzhalter verwenden. Gerätegruppe Deaktivieren Sie Gerätegruppen, deren Mitglieder nicht angezeigt werden sollen. Betriebssystem Geräte, die mit einem bestimmten Betriebssystem ausgestattet sind, können deaktiviert werden. Geräteeigenschaft Nach einer bestimmten Geräteeigenschaft filtern. 6.3.2 Gerätegruppenfilter Der Gerätegruppenfilter schränkt die angezeigten Ergebnisse in Listen mit Gerätegruppen ein. Er bietet folgende Optionen: Option Beschreibung Name Nach Namen der Gerätegruppe filtern. 22 Administratorhandbuch 6.3.3 Softwarefilter Der Softwarefilter schränkt die angezeigten Ergebnisse in Listen mit Softwarepaketen ein. Er bietet folgende Optionen: Option Beschreibung Name Nach Namen des Pakets filtern. Version Nach Version des Pakets filtern. Betriebssystem Sie können nach Paketen filtern, die nur für bestimmte Betriebssysteme anwendbar sind, indem Sie das Kontrollkästchen neben dem relevanten Betriebssystem auswählen. 6.3.4 Auftragsfilter Mit dem Auftragsfilter können Sie die in der Auftragsstatus- und in der Auftragsarchiv-Ansicht angezeigten Aufträge filtern. Er bietet folgende Optionen: Option Beschreibung Gerät Nach Gerätenamen filtern. Softwarepaket Nach Paketnamen filtern. Status Aufträge mit einem bestimmten Status lassen sich deaktivieren. Die Status sind zur Vereinfachung in fünf Gruppen gruppiert. Gruppe Deaktivieren Sie Gerätegruppen, deren Mitglieder nicht angezeigt werden sollen. 23 23 Sophos Mobile Control 7 Assistenten In der Web-Konsole führen Assistenten durch das Erstellen von Aufträgen. Dieser Abschnitt beschreibt zunächst den grundlegenden Vorgang des Erstellens eines Auftrags. Danach werden modulspezifische Aspekte beschrieben. 1. Im ersten Schritt wählen Sie das Zielgerät für den Auftrag aus. Unter Geräte auswählen oder Gerätegruppe(n) auswählen können Sie ein oder mehrere Geräte oder Gerätegruppen auswählen. Hinweis: Aufgrund der unterschiedlichen Objekte, die für einen Auftrag auszuwählen sind, ist es in der Regel nicht empfehlenswert, Geräte mit unterschiedlichen Betriebssystemen auszuwählen (z. B. Android und Windows Mobile). 2. Im nächsten Schritt wählen Sie das Auftragsobjekt aus. Dabei kann es sich zum Beispiel um ein Softwarepaket handeln, dass installiert oder deinstalliert werden soll. Im letzten Schritt planen Sie den Auftrag unter Ausführungszeit wählen. Die Option Sofort ist vorausgewählt. Sie können jedoch auch Datum und Uhrzeit auswählen. Der Auftrag wird am angegebenen Datum gestartet. So können Sie z. B. Aufträge nachts ausführen lassen, wenn Benutzer ihre Geräte nicht benutzen. 3. Klicken Sie auf Fertigstellen, um die Auftragserstellung zu starten. Je nachdem, wie viele Geräte ausgewählt sind, kann dieser Vorgang einige Zeit in Anspruch nehmen. Eine Fortschrittsanzeige zeigt den Fortschritt der Auftragserstellung. Der Server erstellt für jedes ausgewählte Gerät einen separaten Auftrag. Dabei spielt es keine Rolle, ob das Gerät durch Auswahl einer Gruppe oder als Einzelgerät ausgewählt wurde. Während der Auftragserstellung aufgetretene Ereignisse werden mit einer Beschreibung und mit dem entsprechenden Gerät in einer Tabelle aufgelistet. Dies ist z. B. dann der Fall, wenn bei einem Gerät das ausgewählte Paket bereits installiert ist. Für Geräte, die in dieser Tabelle aufgelistet sind, werden keine Aufträge erstellt. Alle anderen Geräte sind nicht betroffen. Ihre Aufträge werden erstellt. Nach Beenden der Auftragserstellung werden die Aufträge in der Auftragsstatus Ansicht angezeigt. Je nach geplantem Datum werden Sie jedoch nicht sofort gestartet. Alle Assistenten haben diese Funktionsweise. In weiteren Abschnitten werden nur die Aspekte, die für die einzelnen Module zu beachten sind, beschrieben. 24 Administratorhandbuch 8 Auftragsstatus In der Auftragsstatus Ansicht können Sie alle im System vorhandenen Aufträge überwachen. Im Gegensatz zum Auftragsarchiv listet die Auftragsstatus Ansicht nur nicht abgeschlossene und fehlgeschlagene Aufträge auf. Darüber hinaus finden Sie hier noch die abgeschlossenen Aufträge der letzten Tage. Ältere Aufträge werden automatisch in das Auftragsarchiv verschoben. Die Auftragsstatus Ansicht wird automatisch aktualisiert. Sie können somit den Fortschritt der Aufträge verfolgen. Das Auftragsarchiv bietet keine automatische Aktualisierung. Alle mit der Web-Konsole erstellten Aufträge (Installationen, Prozessaktivierungen, Text SMS usw.) werden in der Auftragsstatus Ansicht aufgelistet. Dabei spielt es keine Rolle, welcher Benutzer den Auftrag erstellt hat. Alle Benutzer können alle Aufträge des Kunden einsehen. Die einzelnen Aufträge werden durch Symbole kategorisiert. Die Symbole haben folgende Bedeutung: Symbol Beschreibung Installation Deinstallation Prozessaktivierung/-deaktivierung Explizite Aktualisierung von Gerätedaten Text SMS Windows Mobile Profil-Transfer IOS Profil-Transfer Kommandopaket-Transfer Bootstrap Kommando-Transfer Windows Mobile Sicherheitseinstellungen Mit dem Löschen-Symbol wird der nebenstehende Eintrag entfernt. Der Auftrag wird gelöscht. Ist der Auftrag zu diesem Zeitpunkt noch nicht abgeschlossen, wird er je nach aktuellem Auftragsfortschritt noch ausgeführt. 25 25 Sophos Mobile Control 8.1 Auftragsstatus-Beschreibung Status Beschreibung Angenommen Der Auftrag wurde erstellt. Wiederholung Der Auftrag wird später wiederholt. Gestartet Der Auftrag wurde gestartet. In Bearbeitung Die Ausführung des Auftrags wird vorbereitet. Sende Benachrichtigung Der Client wird benachrichtigt Warte auf Zustellung Der Server wartet auf die Bestätigung der Benachrichtigung durch den Client. Benachrichtigung Der Client hat die Benachrichtigung erhalten. Ausgeliefert Der Client hat das Paket bzw. die Kommandos erhalten. Ergebnisauswertung gestartet. Der Client hat geantwortet und die Auswertung des Ergebnisses wurde gestartet. Ergebnis unvollständig Die Ergebnisauswertung hat gezeigt, dass nicht alle Ergebnisse des Kommandos eingegangen sind. Erfolgreich Das Paket wurde installiert oder die Kommandos wurden erfolgreich ausgeführt. Hinweis: Für die Ersteinrichtung (Provisionierung) des Sophos Mobile Control Client muss der Auftrag mit dem Status "Installiert " abgeschlossen werden. Installiert Der Sophos Mobile Control Client wurde erfolgreich installiert. Das Gerät ist nun provisioniert. Ergebnisauswertung fehlgeschlagen Die Ergebnisauswertung konnte nicht durchgeführt werden. Ergebnisauswertung abgebrochen Die Ergebnisauswertung wurde abgebrochen. Auftrag teilweise fehlgeschlagen Nicht alle Kommandos des Auftrags konnten erfolgreich ausgeführt werden. Verschoben Der Auftrag wird später neu gestartet. Fehlgeschlagen (wird wiederholt) Der Auftrag ist fehlgeschlagen und wird später wiederholt. Auftrag fehlgeschlagen Der Auftrag ist fehlgeschlagen und wird nicht wiederholt. Endgültig fehlgeschlagen Der Auftrag ist fehlgeschlagen. Hinweis: Wenn ein Auftrag fehlgeschlagen ist, können Sie manuell einen erneuten Versuch durchführen. Klicken Sie hierzu in der Auftragshistorie auf die Jetzt ausführen Schaltfläche. Dies ist nur für Aufträge möglich, die noch nicht vollständig fehlgeschlagen sind. 26 Administratorhandbuch 8.2 Auftragshistorie In der Auftragsstatus Ansicht können Sie über das Lupensymbol neben einem Auftrag die Auftragshistorie öffnen. Neben allgemeinen Informationen zum Auftrag (z. B. Gerät, Paketname, Erstellungsdatum usw.) zeigt die Auftragshistorie die Status, die ein bestimmter Auftrag durchlaufen hat, mit Zeitstempeln und Fehlercodes. Wenn Kommandos vom Gerät auszuführen sind, wird in der Auftragshistorie zusätzlich eine Details Schaltfläche angezeigt. Klicken Sie auf die Details Schaltfläche, um die Kommandos Ansicht zu öffnen. Die an das Gerät geschickten Kommandos sind Teil des Auftrags. Sie werden vom Client ausgeführt. Die Ergebnisse, die Erfolg oder Fehlschlag angeben, werden an den Server zurück gesendet. Ist kein Fehler aufgetreten, so lautet der Fehlercode "0". Ist ein Kommando fehlgeschlagen, so wird der entsprechende Fehlercode angezeigt. Meistens werden auch Informationen dazu angezeigt, was den Fehlschlag verursacht haben könnte. Um fehlgeschlagene Aufträge manuell noch einmal auszuführen, klicken Sie auf die Jetzt ausführen Schaltfläche, die in dieser Ansicht für fehlgeschlagene Aufträge zur Verfügung steht. Hinweis: Dies ist nur für Aufträge möglich, die noch nicht vollständig fehlgeschlagen sind. 27 27 Sophos Mobile Control 9 Inventar Wenn Sie im Menü auf Inventar klicken, erhalten Sie einen Überblick über die untergeordneten Funktionen Geräte und Gerätegruppen mit einer kurzen Funktionsbeschreibung. 9.1 Geräte In der Geräte Ansicht werden alle für den Kunden bekannten Geräte mit Namen, Betriebssystem und der Gruppe, der sie angehören, aufgelistet. Die Managed Spalte gibt an, ob das Gerät durch Sophos Mobile Control verwaltet wird (grünes Symbol: Ja, rotes Symbol: Nein). Die Compliant Spalte gibt an, ob das Gerät die definierten Compliance-Überprüfungsregeln erfüllt (grünes Symbol: Ja, rotes Symbol: Nein). Die Synchronisiert Spalte gibt an, wann die Geräte zuletzt mit dem Server synchronisiert wurden. 9.1.1 Anlegen eines neuen Geräts 1. Um einen neues Gerät anzulegen, klicken Sie auf die Neues Gerät anlegen Schaltfläche. 2. Wählen Sie unter Gerätevorlage auswählen die passende Gerätevorlage aus. Neue Gerätevorlagen lassen sich über von Sophos gelieferte Updates hinzufügen. 3. Geben Sie unter Gerät bearbeiten die Gerätedetails an. Sie müssen zumindest einen Namen, eine Beschreibung und die Telefonnummer angeben. Die Telefonnummer muss in internationalem Format angegeben werden, zum Beispiel: “+491701234567”. Für die Registrierung des Geräts über E-Mail können Sie auch eine E-Mail-Adresse angeben. Die zu sendende E-Mail können Sie unter Einstellungen definieren. Für weitere Informationen siehe Provisionierung per E-Mail (Seite 36). 4. Wählen Sie im Eigentümer Feld Firmengerät oder Privates Gerät. 28 Administratorhandbuch 9.1.2 Importieren von Geräten Sie können neue Geräte durch Import einer .csv-Datei mit bis zu 500 Geräten hinzufügen. Auf der Import-Seite steht eine Musterdatei mit den korrekten Spaltennamen und der richtigen Spaltenreihenfolge zum Download zur Verfügung. Hinweis: Verwenden Sie einen Text-Editor zum Bearbeiten der .csv-Datei. Wenn Sie Microsoft Excel verwenden, werden die eingegebenen Werte u. U. nicht korrekt aufgelöst. Speichern Sie die Datei mit der Dateinamenerweiterung .csv. 1. Klicken Sie auf die Geräte importieren Schaltfläche, die ein kleines, nach unten zeigendes Pfeilsymbol zeigt. 2. Wählen Sie in der angezeigten Meldung die Datenquelle CSV-Datei aus. Die Geräte importieren Ansicht wird angezeigt. Wenn Sie noch keine .csv-Datei mit Geräten haben, können Sie nun eine Musterdatei herunterladen und diese zum Erstellen Ihrer Importdatei verwenden. 3. Wählen Sie die zu importierende Lizenzdatei aus und klicken Sie auf Datei hochladen. Die Einträge in der .csv-Datei werden auf Fehler überprüft und auf der Import-Seite angezeigt. Hinweis: Wenn die .csv-Datei Fehler enthält, kann sie nicht importiert werden. Neben den relevanten Einträgen wird jeweils eine Fehlermeldung angezeigt. Bearbeiten Sie die .csv-Datei entsprechend und versuchen Sie es noch einmal. 4. Wenn alle Einträge korrekt sind, klicken Sie auf die blaue Fertigstellen Schaltfläche. Die in der .csv-Liste aufgelisteten Geräte werden importiert und in der Geräte Ansicht angezeigt. 9.1.3 Importieren von BlackBerry-Geräten über den BlackBerry Enterprise Server BlackBerry-Geräte lassen sich über den BlackBerry Enterprise Server in Sophos Mobile Control importieren und in der Geräte Ansicht anzeigen. 1. Klicken Sie auf die Geräte importieren Schaltfläche, die ein kleines, nach unten zeigendes Pfeilsymbol zeigt. 2. Wählen Sie in der angezeigten Meldung die Datenquelle BlackBerry Enterprise Server. Die Geräte importieren Ansicht wird angezeigt. 3. Klicken Sie auf die Suchen Schaltfläche, um eine Liste aller beim BlackBerry Enterprise Server registrierten Geräte aufzurufen. Für diese Liste können Sie auch einen Filter über die Felder Benutzername und E-Mail definieren. 4. Wählen Sie die zu importierenden Geräte aus und klicken Sie auf die blaue Fertigstellen Schaltfläche. Eine Meldung wird angezeigt. 5. Geben Sie in der Meldung an, ob alle oder nur ausgewählte Geräte importiert werden sollen. Geben Sie außerdem die zu verwendende Vorlage und Gerätegruppe an. 6. Klicken Sie auf die blaue Schaltfläche, um Ihre Auswahl zu bestätigen. 29 29 Sophos Mobile Control Die ausgewählten BlackBerry-Geräte werden importiert und in der Geräte Ansicht angezeigt. Hinweis: Für BlackBerry-Geräte werden nur die folgenden Funktionen unterstützt: Anzeigen der Geräte in Sophos Mobile Control, Sperren, Wipe, Anzeigen des Software-Inventars und der Geräteeigenschaften. Das Self Service Portal unterstützt BlackBerry-Geräte nicht. 9.1.4 Erstellen eines Geräteberichts So exportieren Sie Geräteinformationen aus der Geräte Ansicht: 1. Klicken Sie auf die Export Schaltfläche, die ein nach oben zeigendes Pfeilsymbol zeigt. Ein Dialog für den Datei-Download wird angezeigt. 2. Klicken Sie auf Speichern, um die Exportdatei am gewünschten Speicherort zu speichern. Hinweis: Im Bericht werden etwaig gesetzte Filter berücksichtigt. Wenn der Bericht nicht die erwarteten Ergebnisse liefert, überprüfen Sie die aktuellen Filter. Hinweis: Das Geräteberichtsformat unterscheidet sich vom Geräteimport-Tabellenformat. Es enthält wesentlich mehr Informationen. Eine exportierte Liste kann daher nur nach umfangreichen Anpassungen importiert werden. 9.1.5 Gerät anzeigen/Gerät bearbeiten Ansicht Um die Details zu einzelnen Geräten einzusehen/zu bearbeiten, klicken Sie in der Geräte Ansicht auf das Lupensymbol/Stiftsymbol neben dem relevanten Gerät. In der Gerät anzeigen/Gerät bearbeiten Ansicht werden alle relevanten Informationen für ein einzelnes Gerät angezeigt. Oben in der Ansicht werden folgende Informationen angezeigt: Name, Beschreibung, Gerätegruppe, Telefonnummer, Eigentümer (Firmengerät oder privates Gerät) E-Mail-Adresse, (für Android- und iOS-Geräte), Betriebssystem, Geräte-ID und Letzte Synchronisation. Für iOS-Geräte wird die Letzte iOS-App Synchronisation angezeigt. Hinweis: Vor der Registrierung des Geräts wird hier die Information zum Betriebssystem angezeigt, die Sie beim Hinzufügen des Geräts angegeben haben. Nach der abgeschlossenen Registrierung wird das Betriebssystem automatisch erkannt. Die Gerät anzeigen/Gerät bearbeiten Ansicht zeigt dann die detaillierten Informationen zum Betriebssystem an, die das Gerät sendet. Die Gerät anzeigen/Gerät bearbeiten Ansicht bietet eine Reihe von Schaltflächen für die Verwaltung von Geräten. Unter den Schaltflächen zeigen die folgenden Registerkarten detaillierte Informationen zu den Geräten: Geräteeigenschaften Zeigt die Geräteeigenschaften, zum Beispiel Eigenschaften für Modell, Modellname, Betriebssystemversion. Bei Android-Geräten werden Smartphones im Root-Zustand ermittelt und die relevante Eigenschaft wird angezeigt. Bei Apple iOS Geräten werden Smartphones im Jailbroken-Zustand ermittelt. Die relevante Eigenschaft wird in der Ansicht angezeigt. 30 Administratorhandbuch Eigene Eigenschaften Zeigt die eigenen Eigenschaften. Dies sind Eigenschaften, die Sie selbst anlegen können. Eigene Eigenschaften können zum Beispiel in Platzhaltern verwendet werden, wenn kein Active Directory zur Verfügung steht. Sie können hier auch benutzerspezifische Informationen hinzufügen. Interne Eigenschaften Zeigt interne Geräteeigenschaften, z. B. zugelassener Active Sync Traffic, IMEI. Richtlinienverletzungen Diese Registerkarte wird nur für Geräte angezeigt, die nicht compliant sind. Sie zeigt die Richtlinienverletzungen des Geräts. Klicken Sie auf das Anzeigen Lupen-Symbol neben einer Richtlinienverletzung um die Historie der Richtlinenverletzung einzusehen. Klicken Sie auf das Bearbeiten Symbol in der Richtlinienverletzungen Registerkarte oder auf das Neue Aktion hinzufügen Symbol in der Historie Ansicht, um den Aktion hinzufügen Dialog anzuzeigen. In diesem Dialog können Sie Informationen zur Aktion eingeben, die aufgrund einer Compliance-Verletzung durchgeführt wurde. Zum Beispiel: Benutzer per E-Mail benachrichtigt. Installierte Software Zeigt die auf dem Gerät installierte Software. Für Apple iOS-Geräte zeigt die Managed Spalte in der Installierte Software Registerkarte die Managed Apps. Die Managed Apps iOS Funktionalität wurde mit iOS 5.0 eingeführt wurde. Mit Sophos Mobile Control können Sie solche Apps auf IOS-Geräte pushen und sie auch unbemerkt wieder entfernen. Hinweis: Sophos Mobile Control unterstützt die Managed Apps Funktionalität ab iOS 5.1. Für Android-Geräte unterscheidet Sophos Mobile Control zwischen System Apps und Apps, die der Benutzer auf dem Gerät installiert hat. Für Android-Geräte wird das Datenvolumen, das von den einzelnen Apps benutzt wird, angezeigt. Für iOS-Geräte wird der Speicherplatz, der von einer App nach der Installation benutzt wird, sowie zusätzlicher Speicherplatz, der für Downloads, Konfiguration oder Einstellungen usw. benötigt wird, angezeigt. In dieser Registerkarte steht oben links in der Ecke die Schaltfläche Software installieren zur Verfügung. Mit dieser Schaltfläche können Sie Software auf dem Gerät installieren. Sie können auch Managed Apps vom Gerät entfernen, indem Sie auf das Löschen Symbol neben der relevanten App klicken. Installierte Profile (iOS) Zeigt die auf iOS-Geräten installierten Profile. In dieser Registerkarte steht die Schaltfläche Profil installieren zur Verfügung. Mit dieser Schaltfläche können Sie Software auf dem Gerät installieren. Sie können auch Profile vom Gerät entfernen, indem Sie auf das Löschen Symbol neben dem relevanten Profil klicken. In dieser Registerkarte werden auch Provisionierungsprofile aufgelistet. 31 31 Sophos Mobile Control System Software (Android) Zeigt die Android System Software auf dem Gerät an. Zertifikate (iOS) Zeigt die auf dem iOS-Gerät benutzten Zertifikate an. 9.1.5.1 Schaltflächen für die Verwaltung von Geräten Für die Verwaltung von Geräten und das Einsehen von Geräteinformationen steht eine Reihe von Schaltflächen zur Verfügung. Bestimmte Schaltflächen werden je nach Geräteplattform und Konfiguration angezeigt. Schaltfläche Beschreibung Klicken Sie auf diese Schaltfläche, um den Namen und die IMEI eines spezifischen Geräts im Gerätefilter einzustellen. Zeigt die installierten Softwarepakete, die Versionsnummern sowie die Prozesse. Zeigt die installierten Profile. In diesem Dialog können Sie auch Profile löschen. Mit dieser Schaltfläche können Sie eine ActiveDirectory-Verbindung zum Gerät hinzufügen. Mit dieser Schaltfläche können Sie eine ActiveDirectory-Verbindung zum Gerät entfernen. Mit dieser Schaltfläche können Sie die Daten aktualisieren. Öffnet die Datenzählerdetails für das Gerät. Gibt an, dass der E-Mail-Zugriff verweigert wird. Ein zusätzliches Symbol auf der Schaltfläche gibt an, ob der E-Mail-Zugriff manuell automatisch oder zugelassen wurde. Wenn Sie auf diese Schaltfläche klicken, wird ein Fenster geöffnet, in dem Sie den E-Mail-Zugriff zulassen oder auf Automatikmodus einstellen können. Gibt an, dass der E-Mail-Zugriff zugelassen wird. Ein zusätzliches Symbol auf der Schaltfläche gibt an, ob der E-Mail-Zugriff 32 manuell automatisch oder zugelassen wurde. Administratorhandbuch Wenn Sie auf diese Schaltfläche klicken, wird ein Fenster geöffnet, in dem Sie den E-Mail-Zugriff verweigern oder auf Automatikmodus einstellen können. Gibt an, dass die Active Sync ID für das Gerät unbekannt ist. Einstellungen haben keine Auswirkungen. Wie eine Active Sync ID für ein Gerät ermittelt wird, hängt vom Gerätetyp ab: Für Apple iOS und Windows Mobile Geräte ist die Active Sync ID bekannt, sobald das Gerät durch das SMC Profil/den SMC Client verwaltet wird. Für Android Geräte wird die ID aufgelöst, wenn sich das Gerät zum ersten Mal mit dem Exchange Server verbindet. Geräte werden anhand Ihres ExchangeBenutzernamens identifiziert. Die Active Sync ID wird dann eingetragen. Hinweis: Dies ist nur dann möglich, wenn nur ein Gerät gefunden wird. Remote-Sperren des Geräts Remote-Entsperren des Geräts Mit dieser Schaltfläche können Sie den Passcode/das Passwort eines Geräts zurücksetzen. Für Apple IOS-Geräte wird der Passcode/das Passwort auf dem Gerät zurückgesetzt. Der Benutzer wird dazu aufgefordert, einen neuen Passcode/ein neues Kennwort festzulegen. Für Android Geräte können Sie den alten Passcode/das alte Passwort ersetzen. Der neue Passcode/das neue Passwort muss den Passcode-/Kennwortregeln entsprechen. Löscht alle Synchronisierungsdaten des Geräts. Sophos Mobile Control Client muss neu installiert werden. Mit dieser Schaltfläche können Sie das Gerät bei Verlust in den Auslieferungszustand zurücksetzen (Wipe). Mit dieser Schaltfläche können Sie eine Text SMS an ein spezifisches Gerät senden. Hinweis: Diese Option ist nur für Android Geräte verfügbar. Mit dieser Schaltfläche können Sie die örtliche Position eines Geräts ermitteln. Hinweis: Diese Option ist nur für Android und Windows Mobile Geräte verfügbar. Stellt die Daten für das Gerät aus einem Backup wieder her. Mit dieser Schaltfläche können Sie das Gerät löschen. Mit dieser Schaltfläche können Sie alle Aufträge für dieses Gerät aufrufen. 33 33 Sophos Mobile Control Diese Schaltfläche steht für Geräte zur Verfügung, bei denen die Registrierung über das Self Service Portal fehlgeschlagen ist. Mit dieser Schaltfläche können Sie den Status der fehlgeschlagenen SSP-Registrierung zurücksetzen, nachdem Sie die relevanten Probleme behoben haben. Hinweis: Verwenden Sie diese Schaltfläche nur dann, wenn Sie sicher sind, dass sich das Gerät trotzdem mit dem Sophos Mobile Control Server synchronisiert. Verwenden Sie diese Schaltfläche, um ein iOS- oder Android-Gerät zu deregistrieren, siehe Deregistrieren von Android- und iOS-Geräten (Seite 34). Hinweis: An Eigenschaften vorgenommene Änderungen treten erst in Kraft, wenn Sie auf Speichern geklickt haben. Wenn Sie die vorgenommenen Änderungen nicht speichern, haben sie keinerlei Auswirkungen. Wenn Sie ein Gerät löschen, werden automatisch auch dessen Aufträge gelöscht. Der Server löscht alles, was mit dem Gerät in Verbindung steht, auch synchronisierte Informationen. Der Löschvorgang auf Server-Seite hat keine Auswirkungen auf die Client-Seite. Soll der Client neu installiert werden, so muss der Sophos Mobile Control Client zunächst manuell vom Gerät entfernt werden. 9.1.6 Deregistrieren von Android- und iOS-Geräten Sie können durch Sophos Mobile Control verwaltete Android- und iOS-Geräte deregistrieren, wenn sie nicht mehr benutzt werden. Dies ist zum Beispiel nützlich, wenn ein Benutzer das Unternehmen verlässt oder ein neues Gerät erhält. Um ein Gerät zu deregistrieren, klicken Sie auf die Gerät deregistrieren Schaltfläche in der Gerät anzeigen/Gerät bearbeiten Ansicht des relevanten Geräts. Dadurch werden folgende Vorgänge ausgelöst: Android-Geräte: Der Sophos Mobile Control Geräteadministrator wird deaktiviert. Die Server-Anmeldedaten und alle weiteren vom Server erhaltenen Daten werden entfernt. iOS-Geräte: Alle Profile werden entfernt. Alle Zertifikate werden entfernt. Alle Managed Apps werden entfernt (ab iOS 5.1). Die Sophos Mobile Control iOS Client App wird entfernt, falls Sie über Managed Apps (ab iOS 5.1) installiert wurde. 34 Administratorhandbuch 9.2 Gerätegruppen Mit Gerätegruppen lassen sich Geräte kategorisieren. Ein Gerät gehört jeweils immer exakt zu einer Gerätegruppe. Die Anwendung von Gruppen vereinfacht die Arbeit mit dem System, da bei den meisten Modulen neben der Auswahl von einzelnen Geräten auch die Auswahl ganzer Gruppen möglich ist. Hinweis: Wir empfehlen, nur Geräte in Gruppen zusammenzufassen, die das gleiche Betriebssystem aufweisen. Gruppen lassen sich dadurch leichter für Installationen und andere betriebssystemspezifische Vorgänge verwenden. Wenn Sie Gerätegruppen löschen, werden die zugehörigen Geräte in eine andere Gruppe verschoben, die angegeben werden muss. Ist keine Gruppe mehr vorhanden, in die die Geräte verschoben werden können, so kann die Gruppe nicht gelöscht werden. Bevor eine Gruppe gelöscht wird, wird eine Warnungsmeldung angezeigt. Um die Gruppe zu löschen, bestätigen Sie diese Meldung. 35 35 Sophos Mobile Control 10 Provisionierung (Ersteinrichtung) 10.1 SMC-Client Pakete Mit dieser Funktion können Sie die Sophos Mobile Control Client Pakete auflisten, die für die Ersteinrichtung neuer Geräte zur Verfügung stehen. Neue Pakete lassen sich über von Sophos gelieferte Updates hinzufügen. Sie können auch die Neues Paket anlegen Schaltfläche benutzen. 10.1.1 Anlegen eines neuen Sophos Mobile Control Pakets Um ein neues Sophos Mobile Control Client Paket anzulegen, geben Sie einen Namen, eine Versionsnummer und die kompatiblen Betriebssysteme ein. Geben Sie außerdem an, wie die Konfiguration bereitgestellt werden soll: Paket hochladen oder Paket verlinken. 10.2 SMC-Client Installation Diese Funktion dient zur Ersteinrichtung (Provisionierung) neuer Geräte. Dieser Vorgang wird in der Regel nur einmal pro Gerät ausgeführt. Die Funktion legt die grundlegenden Daten für das Gerät an und schickt eine SMS mit einem Installations-Link für den Download des ausgewählten Sophos Mobile Control Client Pakets. Der Meldungstyp hängt von der verwendeten Gerätevorlage ab, da Geräte mit verschiedenen Betriebssystemen unterschiedliche Methoden für die Installation des Client unterstützen. Für weitere Informationen zur Installation des Sophos Mobile Control Client auf dem Gerät, siehe die Sophos Mobile Control Benutzerhandbücher für Android, Apple iOS und Windows Mobile. Hinweis: Wenn der Sophos Mobile Control Client neu installiert werden muss, weil das Gerät zurückgesetzt/formatiert wurde, muss das Sophos Mobile Control Client Flag in den Eigenschaften des Geräts vor dem Öffnen des Assistenten zurückgesetzt werden. Der Server entfernt dadurch alle Daten früherer Synchronisierungen. 10.3 Provisionierung per E-Mail Die initiale Provisionierung von Android- und Apple iOS-Geräten kann über E-Mail anstelle von SMS erfolgen. Dieses Verfahren kann für Geräte benutzt werden, die SMS nicht unterstützen, zum Beispiel iPads. Voraussetzungen: Während der Sophos Mobile Control Installation muss ein Mail-Server konfiguriert werden. Für weitere Informationen, siehe den Sophos Mobile Control Installation Guide (Englisch). Ein E-Mail-Konto (persönliches E-Mail-Konto oder Firmen-E-Mail-Konto) muss auf den Geräten, die provisioniert werden sollen, zur Verfügung stehen. Die E-Mail-Adressen müssen beim Hinzufügen zu Sophos Mobile Control (manuell oder über Import) angegeben werden. 36 Administratorhandbuch Hinweis: Für die Provisionierung per E-Mail muss die Telefonnummer des Geräts mit 0 angegeben werden. Für die Provisionierung wird eine E-Mail, die in der Administrationskonsole konfiguriert wird, an die angegebenen E-Mail-Konten geschickt. Sie können die zu sendende E-Mail unter Einstellungen in der Registerkarte Provisioning per E-Mail konfigurieren. In dieser Registerkarte geben Sie Absender, Betreff und den Inhalt der E-Mail an. Für Download- und Konfigurations-Links stehen die Platzhalter _DOWNLOADLINK_ und _CONFIG_LINK zur Verfügung. Diese sind obligatorisch und werden in der an die Geräte gesendeten E-Mail durch den jeweiligen Link ersetzt. Darüber hinaus sind die Platzhalter _DEVICENAME_ und _DEVICEDESCRIPTION_ verfügbar. 37 37 Sophos Mobile Control 11 Applikationen 11.1 Softwarepakete Mit der Softwarepakete Funktion können Sie neue Pakete zur Installation auf den Geräten anlegen. Die Pakete können aus mehreren Dateien bestehen. Sie sind jedoch in der Regel als betriebssystemspezifische Datei gepackt (z. B. "cab", "apk" oder "ipa"). Als Administrator können Sie neue Pakete hochladen, indem Sie auf die Neues Paket anlegen Schaltfläche klicken. Geben Sie unter Paket bearbeiten, den Namen und die Version des Softwarepakets ein. Wählen Sie außerdem das Betriebssystem aus, für das das Paket angewendet werden soll. Geben Sie außerdem an, wie die Konfiguration bereitgestellt werden soll: Paket hochladen oder Paket verlinken. Für die Provisionierung von Software über den Enterprise App Store können Sie Softwarepakete als Erforderlich oder Empfohlen definieren. Das Softwarepaket wird dann im Enterprise App Store des SMC Agent zum Download angezeigt und die Benutzer können es zur Installation auswählen. Der Installationsvorgang läuft ohne oder nur mit sehr geringer Benutzerinteraktion. Wenn Sie das Software-Paket in das System hochgeladen haben, können Sie es jederzeit wieder herunterladen, um es zu überprüfen. So müssen Sie die Dateien nicht separat verwalten. Um ein Softwarepaket herunterzuladen, klicken Sie auf das Bearbeiten Symbol in der Softwarepakete Ansicht. Klicken Sie dann auf das Download Symbol neben dem Softwarepaket. Wenn Sie ein Softwarepaket löschen möchten, müssen Sie zunächst alle aktiven Aufträge löschen, die auf das Paket referenzieren. Um ein Softwarepaket zu löschen, klicken Sie auf das Löschen Symbol neben dem relevanten Paket in der Softwarepakete Ansicht. Hinweis: Wenn ein Softwarepaket von einem Superadministrator geerbt wurde, kann es nicht gelöscht werden. Für weitere Informationen, siehe die Sophos Mobile Control Superadministratoranleitung. 11.2 Installation Mit der Installation Funktion können Sie Softwarepakete auf den Geräten installieren. Wenn das Gerät provisioniert ist, wird die Installation vom Sophos Mobile Control Client ausgeführt. In diesem Fall läuft der Vorgang im Hintergrund. Der Endbenutzer kann nicht eingreifen. Die zur Installation verfügbaren Softwarepakete müssen mit der Softwarepakete Funktion angelegt werden, damit Sie im Objektauswahl-Schritt zur Verfügung stehen. Im Datumsauswahl-Schritt können Sie das Erzwingen Flag für diesen Auftrag setzen. In dieser Funktion gibt das Erzwingen Flag an, ob der Auftrag angelegt werden soll, obwohl das ausgewählte Paket bereits auf dem Gerät installiert ist. Ist das Flag nicht ausgewählt und der Server ermittelt, dass das Paket bereits installiert ist, so wird eine Benachrichtigung ausgegeben und der Auftrag wird für dieses Gerät nicht angelegt. 38 Administratorhandbuch 11.3 Deinstallation Mit der Deinstallation Funktion können Sie Softwarepakete von den Geräten entfernen. Im Objektauswahl-Schritt werden die auf den Clients installierten Pakete angezeigt. Sind mehrere Geräte ausgewählt, zeigt die Liste alle Pakete für alle Geräte. In dieser Funktion ist es wahrscheinlich, dass während des Anlegens von Aufträgen eine Benachrichtigung ausgegeben wird, da in der Regel nicht auf allen Geräten das ausgewählte Paket installiert ist. Die Deinstallation erfolgt im Hintergrund. Der Endbenutzer kann nicht eingreifen. Wenn die zu deinstallierende Applikation derzeit läuft, schließt Sophos Mobile sie vor der Deinstallation. 11.4 Sperren/Freischalten Mit diesem Modul können Sie Prozesse auf dem Gerät aktivieren oder deaktivieren. Deaktivierte Prozesse dürfen nicht ausgeführt werden. Der Sophos Mobile Control Client überwacht alle Prozesse, die auf dem Gerät laufen, und bricht deaktivierte Prozesse sofort ab. Somit können Sie als Administrator bestimmte Applikationen sperren. Aktivierte Prozesse sind nicht betroffen und können gestartet werden. Hinweis: Wenn auf dem Gerät Softwarepakete manuell installiert werden (nicht über Sophos Mobile Control), so werden die enthaltenen Prozesse standardmäßig deaktiviert. Wird das Paket über Sophos Mobile Control installiert, werden die Prozesse automatisch aktiviert. Hinweis: Wenn ein Paket, das aktivierte Prozesse enthält, deinstalliert wird, bleiben die Prozesse aktiviert. Wird diese Applikation wieder installiert, so sind die Prozesse noch aktiviert. Dabei spielt es keine Rolle, ob die Installation über Sophos Mobile Control oder manuell erfolgt. Prozesse lassen sich für einzelne oder mehrere Geräte aktivieren oder deaktivieren. Zum Anlegen der Aufträge wird der gemeinsame Assistent verwendet. Wenn Sie mehrere Geräte einrichten, gibt es nach der Geräte-/Gruppenauswahl den zusätzlichen Schritt Basisgeräteauswahl. Hinweis: Für Windows Mobile Control ist das Freischalten und Sperren von Prozessen standardmäßig deaktiviert. Sie können diese Funktionalität mit dem setConfig Befehl (ProcessSecurityOn) aktivieren. 11.4.1 Einzelnes Gerät Für einige Geräte werden auch Systemprozesse definiert. Sie definieren diese Prozesse, wenn Sie das Gerät auf der Grundlage einer Vorlage anlegen, oder mit der Funktion Neue Eigenschaft anlegen (unter Gerät bearbeiten). Wenn der Status eines nicht aufgelisteten Prozesses geändert werden soll, können Sie ihn manuell eingeben. Hierzu benötigen Sie den Namen und die ID des Prozesses. Für Windows Mobile Prozesse ist die ID die Dateigröße in Bytes, wie sie unter Softwarestand anzeigen angegeben ist. Hier ist es notwendig, die Prozesse über ein Gerät anzuzeigen, und die ID so zu ermitteln. 39 39 Sophos Mobile Control 1. Um neue Prozesse einzugeben, wählen Sie Geräte im Menü und bearbeiten Sie das entsprechende Gerät. 2. Klicken Sie auf die Schaltfläche Neue Eigenschaft anlegen... Der Eigenschaft bearbeiten Dialog wird angezeigt. Die Syntax muss dem folgenden Beispiel entsprechen: Name: SystemProcess2 Value: Internet;10008d39,BrowserNG.exe Der Name lautet immer "SystemProcess" gefolgt von einem bei "0" beginnenden Index. Leerzeichen sind nicht zulässig. Wenn Sie einen weiteren Prozess anlegen, verwenden Sie immer den folgenden Index, zum Beispiel "SystemProcess1", "SystemProcess2" usw. Der Wert lautet <Anzeigename>;<UID des Prozesses <Name des Prozesses>. Es lassen sich auch mehrere Prozesse kombinieren, zum Beispiel: <Anzeigename>;<UID des Prozesses>,<Name des Prozesses>;<UID des Prozesses>,<Name des Prozesses>. Wir empfehlen, den Standardanzeigenamen in einen aussagekräftigeren Namen zu ändern, so dass dieser das Ziel von Prozess-Statusänderungen wiedergibt. Angelegte Prozesse werden unter Eigenschaften angezeigt. 11.4.2 Mehrere Geräte Das unter Basisgeräteauswahl ausgewählte Gerät dient als Grundlage für die Prozessinformationen. Es werden nur die Prozesse für dieses Gerät zur Aktivierung/Deaktivierung angezeigt. Es sind jedoch alle Geräte betroffen, die während der Geräte-/Gruppenauswahl ausgewählt wurden, wenn sie die gleichen Prozesse bieten. Im Gegensatz zur Statusfunktion für Einzelgeräte werden alle Status als unverändert angezeigt. Standardmäßig wird also kein Prozess geändert und die spezifischen Einstellungen werden für jedes Gerät beibehalten. Sie können jeden Status separat auswählen. Wenn auf einem Zielgerät der zu ändernde Prozess nicht installiert ist, ist es von der Änderung nicht betroffen. Alle Prozesse, die nicht zur Aktivierung oder Deaktivierung ausgewählt werden, verbleiben in ihrem derzeitigen Status. 40 Administratorhandbuch 12 Konfigurationen Mit diesem Modul können Sie Einstellungsprofile für Windows Mobile, Android und Apple iPhone/iPad Geräte anlegen und übertragen. 12.1 Profilvorlagen Mit diesem Modul können Sie Vorlagen für Einstellungsprofile verwalten. Sie definieren die Einstellungsoptionen, die für den Sophos Mobile Control Benutzer zur Verfügung stehen. Neue von Sophos zur Verfügung gestellte Vorlagen müssen von einem Administrator über die Neue Vorlage anlegen Schaltfläche manuell hoch geladen werden. Hinweis: Profilvorlagen sind nur für Windows Mobile Geräte verfügbar. Um ein Apple iPhone/iPad Profil anzulegen, müssen Sie die Apple iPhone Configuration Utility installieren. 1. Wählen Sie im Menü Apple iPhone, um einen kurzen Überblick der Funktionen der Utility zu erhalten. 2. Klicken Sie auf die Profilerstellung Schaltfläche, um die Download-Links und eine kurze Beschreibung zur Erstellung eines Apple iPhone/iPad Profils anzeigen zu lassen. 12.2 Profile Mit diesem Modul können Sie die Einstellungsprofile für Windows Mobile und Android Geräte verwalten. Bereits erstellte Apple iPhone/iPad Profile müssen mit diesem Modul hoch geladen werden. Bevor Sie ein neues Profil anlegen, müssen Sie mindestens eine Profilvorlage hoch laden. Die ausgewählte Vorlag definiert die Einstellungen, die dem Sophos Mobile Control Benutzer zur Verfügung stehen. Sie können beliebig viele verschiedene Profile anlegen. Hinweis: Jede Funktion muss separat angewendet werden. Wenn Sie die Funktion nicht anwenden, gehen Einstellungen verloren. Die Einstellungen gehen außerdem verloren, wenn Sie diese vor dem Verlassen des Profil bearbeiten Dialogs nicht speichern. Da das Anlegen eines Profils zeitaufwändig sein kann, lassen sich Profile mit der Dieses Paket duplizieren Schaltfläche duplizieren. Diese Funktion ist hilfreich, wenn Sie mehrere umfangreiche Profile mit ähnlichen Einstellungen anlegen müssen. Es müssen dann nur wenige Einstellungen geändert werden. Hinweis: Profile lassen sich nur dann duplizieren, wenn Sie das Profil nicht gerade bearbeiten. Die Kopien werden mit "Kopie von" und dem Namen des Originalprofils benannt. Sie können den Namen jedoch ändern. 41 41 Sophos Mobile Control Wenn Sie ein Profil für ein iOS-Gerät das System hochgeladen haben, können Sie es jederzeit wieder herunterladen, um es zu überprüfen. So müssen Sie die Dateien nicht separat verwalten. Um ein Profil für ein iOS-Gerät herunterzuladen, klicken Sie auf das Bearbeiten Symbol in der Apple iOS Profile Ansicht. Klicken Sie dann auf das Download Symbol neben dem Profil in der Profil bearbeiten Ansicht. 12.2.1 Platzhalter für Profile Generische Profile können Platzhalter enthalten, die zum Zeitpunkt der Auftragsausführung durch Benutzerdaten ersetzt werden. Sie können folgende Platzhalter in Profilen verwenden: ActiveDirectory Platzhalter %_EMAILADDRESS_% %_USERNAME_% %_PHONENUMBER_% Geräteeigenschaften-Platzhalter: %_DEVPROP(Eigenschaftsname)_% Mit diesem Platzhalter können Sie zum Beispiel die IMEI des Geräts angeben: %_DEVPROP(IMEI)_% 12.3 Übertragung Mit diesem Modul können Sie Profile an spezifische Geräte oder Gerätegruppen übertragen. Zum Anlegen des Auftrags wird der gemeinsame Assistent verwendet. 42 Administratorhandbuch 13 Kommandopakete 13.1 Pakete Mit diesem Modul können Sie verschiedene Kommandos in Kommandopaketen kombinieren. Sie können somit viele verschiedene Funktionen in nur einer Übertragung konfigurieren. Dies ist besonders hilfreich, wenn eine Reihe von Geräten identisch konfiguriert werden soll. Kommandopakete sind nur für Windows Mobile und Android Geräte verfügbar. Wenn Sie ein neues Paket anlegen, müssen Sie einen Namen, eine Version sowie mindestens ein Betriebssystem und ein Kommando auswählen. Hinweis: Falsch verwendete Kommandos können eine Sperre oder sogar eine Beschädigung von Geräten auslösen. Diese Funktion sollten daher nur erfahrene Benutzer verwenden. Wir empfehlen dringend, die Kommandos vor der Verteilung bei einem einzelnen Gerät zu testen. Standardkommandos werden auf allen verfügbaren Plattformen unterstützt. Kommandos aus plattformspezifischen Kategorien werden nur von den spezifischen Plattformen unterstützt. Die Spalten AND (Android) und WIN (Windows Mobile) neben den Kommandos geben an, für welche Plattform(en) die Kommandos verfügbar sind. Wird nach Auswahl verschiedener Plattformen ein plattformspezifisches Kommando hinzugefügt, so verweigern Geräte, die die spezifische Funktion nicht unterstützen, das Kommando. Mit den Sortier-Pfeilsymbolen auf der rechten Seite der Liste können Sie die Installationsreihenfolge für die ausgewählten Kommandos festlegen. Die Pfeile lösen folgende Aktionen aus: Symbol Beschreibung Eine Reihe nach oben verschieben. An den Beginn der Liste verschieben. Eine Reihe nach unten verschieben. An das Ende der Liste verschieben. Da das Anlegen eines Kommandopakets zeitaufwändig sein kann, lassen sich fertige Kommandopakete mit der Dieses Paket duplizieren Schaltfläche duplizieren. Diese Funktion ist hilfreich, wenn mehrere umfangreiche Kommandopakete mit ähnlichen Kommandos angelegt werden müssen. Es müssen dann nur wenige Befehle gelöscht oder hinzugefügt werden. Hinweis: Kommandopakete lassen sich nur dann duplizieren, wenn Sie das Paket nicht gerade bearbeiten. Die Kopien werden mit "Kopie von" und dem Namen des Originalpakets benannt. Sie können den Namen jedoch ändern. 43 43 Sophos Mobile Control 13.2 Parameter für den Befehl setConfiguration Mit dem Befehl setConfiguration stellen Sie Werte in der Konfiguration des Sophos Mobile Client ein. Der Befehl bietet folgende Parameter: Parameter Beschreibung Wertetyp Wertebereich AdminSMS Die Administrator SMS Telefonnummer für IMSIÄnderungen. Zeichenfolge ImsiChange NotifyDelay Verzögerung für die Überprüfung auf IMSIÄnderungen in Sekunden (1 = aus, >= 0: an). Zahl -1 - 1800 MaxSyncGap Intervall für die automatische Synchronisierung in Minuten (0: aus). Zahl 0 - 2147483647 Standard WM AND -1 0 13.3 Übertragung Mit diesem Modul können Sie Kommandopakete an spezifische Geräte oder Gerätegruppen übertragen. Zum Anlegen des Auftrags wird der gemeinsame Assistent verwendet. 44 Administratorhandbuch 14 Backup Mit dem Backup Modul können Sie Daten-Backups für Android und Windows Mobile Geräte konfigurieren. In Backups lassen sich SMS-Meldungen, Lesezeichen und benutzerdefinierte Verzeichnispfade sichern. Nach dem Erstellen der Backups können Sie Daten für Geräte wiederherstellen, indem Sie in der Gerät anzeigen oder Gerät bearbeiten Ansicht auf die Daten aus Backup wiederherstellen Schaltfläche klicken. Hinweis: Backups sind plattformspezifisch. 14.1 Profile Um Backups zu konfigurieren, wählen Sie im Sophos Mobile Control Menü unter Backup den Befehl Profile. Geben Sie unter Backup-Konfiguration bearbeiten einen Namen und eine Version für die neue Backup-Konfiguration an. Wählen Sie außerdem das Betriebssystem aus, für das die Konfiguration gelten soll. Um einen Zeitplan für den Backup zu definieren, wählen Sie die gewünschten Wochentage und Uhrzeiten aus. Für den Backup können Sie Folgendes auswählen: SMS Lesezeichen des Systembrowsers Zu sichernde Pfade 14.2 Übertragung Mit diesem Modul können Sie Backup-Konfigurationen an spezifische Geräte oder Gerätegruppen übertragen. 45 45 Sophos Mobile Control 15 Auftragspakete Mit dem Auftragspakete Modul können Sie mehrere Aufträge für Mobilgeräte in einer Transaktion bündeln. Somit können Sie alle Aufträge bündeln, die zur vollständigen Registrierung eines Geräts notwendig sind: Provisionierung des Geräts Anwendung der erforderlichen Richtlinien Installation von erforderlichen Applikationen (zum Beispiel Managed Apps für iOS-Geräte). Sie können auch Wipe-Befehle in Auftragspakete einbeziehen, um Geräte, die nicht mehr den Compliance-Regeln entsprechen (zum Beispiel durch Jailbreak oder Root Access), auf Ihren Fabrikzustand zurückzusetzen. 15.1 Pakete Um ein neues Auftragspaket zu erstellen, wählen Sie im Sophos Mobile Control Menü unter Auftragspakete den Befehl Pakete. Beim Hinzufügen neuer Aufträge, können Sie Ihre eigenen aussagekräftigen Namen für die ausgewählten Aufträge angeben. Mit den Sortier-Pfeilsymbolen auf der rechten Seite der Liste können Sie die Installationsreihenfolge für die ausgewählten Aufträge festlegen (siehe Kommandopakete (Seite 43). Fertige Auftragspakete lassen sich mit der Dieses Paket duplizieren Schaltfläche duplizieren. 15.2 Übertragung Mit diesem Modul können Sie Auftragspakete an spezifische Geräte oder Gerätegruppen übertragen. Nach der Übertragung des Auftragspakets an die relevanten Geräte werden die Aufträge im Paket in der von Ihnen definierten Reihenfolge ausgeführt. 46 Administratorhandbuch 16 Datenzähler Im Datenzähler Modul werden die im laufenden und vorigen Monat übertragenen Datenmengen angezeigt. Der Datenzähler gibt einen groben Überblick über alle Geräte. Wählen Sie ein spezifisches Gerät aus, um Informationen zur Datenmenge in den letzten Monaten oder eine detaillierte Übersicht für jeden Tag eines bestimmten Monats anzeigen zu lassen. Wenn ein Gerät ein konfiguriertes Limit erreicht, sendet der Server eine Text SMS oder eine Warnmeldung. Hinweis: Der Datenzähler ist nur für Windows Mobile und Android Geräte verfügbar. Hinweis: Das Datenzähler Modul schränkt die Datenübertragungsmenge nicht ein, auch dann nicht, wenn das Limit erreicht ist. Es informiert lediglich den Benutzer des Geräts. In der Datenzähler Ansicht werden bei Datenübertragung bestimmte Werte rot markiert. Diese Funktion bietet einen besseren Überblick zu gewünschtem oder nicht gewünschtem Datenverkehr. WiFi-Datenverkehr wird daher nie rot markiert. GSM-Datenverkehr wird nur dann rot markiert, wenn das Limit überschritten wird. GSM Roaming-Datenverkehr wird sofort beim Auftreten rot markiert. Klicken Sie auf ein bestimmtes Gerät, um den Jahresüberblick anzeigen zu lassen. Sie können die im Datenzähler angezeigten Detailinformationen auf bestimmte Kommunikationsmedien beschränken. In diesem Dialog können Sie auch das Limit für die Datenübertragungsmenge festlegen. Wählen Sie einen Monat aus, um die Monats-Detailansicht anzuzeigen. Diese zeigt den Datenverkehr im Detail für jeden einzelnen Tag. 47 47 Sophos Mobile Control 17 Das Sophos Mobile Control Self Service Portal Mit dem Sophos Mobile Control Self Service Portal können Endbenutzer ihre Geräte selbst registrieren. Die Selbstregistrierung wird für die folgenden Plattformen unterstützt: Android Apple iOS Hinweis: Da der Empfang von SMS-Nachrichten mit Installations-Links auf dem iPad nicht möglich ist, müssen iPad-Benutzer das Self Service Portal benutzen, um ihre Geräte zu registrieren und den Sophos Mobile Control Client zu installieren. Die Benutzer müssen auf Ihrem Gerät den Browser öffnen, dort die Self Service Portal URL eingeben und Ihr Gerät beim Sophos Mobile Control System registrieren. Windows Mobile Unter Einstellungen können Sie in der Registerkarte Self Service Portal die Einstellungen für das Self Service Portal definieren. Für weitere Informationen zur Benutzung des Self Service Portal, siehe die Sophos Mobile Control Benutzerhandbücher für Android, Apple iOS und Windows Mobile. 48 Administratorhandbuch 17.1 Anmeldung am Self Service Portal Das Self Service Portal unterstützt mehrere Clients und ActiveDirectory (AD) Server. Für die erfolgreiche Anmeldung muss das Self Service Portal den Client und das verbundene ActiveDirectory auflösen. Die folgende Tabelle zeigt die hier verfügbaren Optionen: Szenario Kunde (Mandant) AD Server 1 1 1 Erklärung Die Benutzeranmeldung reicht aus, um sich am System zu authentisieren. Der DNS-Name der Standarddomäne wird automatisch erweitert. Der Kunde, für den das AD konfiguriert wurde, muss angegeben werden. Hinweis: Dies ist nur dann möglich, wenn die Einstellung der Standarddomäne während der Einrichtung von Sophos Mobile Control entsprechend konfiguriert wurde. 2 N 1 3 N N Für jeden Client muss im AD eine separate Gruppe zur Verfügung stehen, damit eine eindeutige Zuordnung erreicht wird. Wenn mehrere AD Server benutzt werden, muss ein Qualified User Name in einer der folgenden Optionen angegeben werden: 1. <NetBIOS-Name> \<Anmeldename> 2. <Anmeldename>@<DNS-Name> Hinweis: Die Domäne muss nur dann angegeben werden, wenn keine SSP-Anmeldevorlage während der Konfiguration definiert wurde. 49 49 Sophos Mobile Control 18 Fehlerbehebung Problem Mögliche Ursache Lösung Ich kann mich nicht anmelden. Die Anmeldedaten sind nicht korrekt. Überprüfen Sie die Daten und versuchen Sie es noch einmal. Ich kann keine Geräte registrieren. Für die Sophos Mobile Control Installation wird keine gültige Lizenz verwendet. Fragen Sie bei Ihrem Systemadministrator nach, ob für die Installation von Sophos Mobile Control eine gültige Lizenz verwendet wurde. Für weitere Informationen, siehe Licenses im Sophos Mobile Control installation guide (in englischer Sprache). In Tabellen werden keine Einträge angezeigt. Der Filter ist zu eingeschränkt. Es gibt keine Einträge, die den Kriterien entsprechen. Bearbeiten Sie die Kriterien oder setzen Sie den Filter zurück. Das Gerät wurde ausgeschaltet. Warten Sie, bis es wieder eingeschaltet wird. Der Provisionierungs-Auftrag für die Installation de Sophos Mobile Control Client verbleibt im Status "Erfolgreich". Die Installation ist fehlgeschlagen. Überprüfen Sie, ob das richtige Sophos Mobile Control Client Paket für die Installation ausgewählt wurde. Das falsche Paket wurde installiert. 50 Löschen Sie den Auftrag und versuchen Sie es noch einmal mit dem richtigen Paket. Administratorhandbuch 19 Technischer Support Technischen Support zu Sophos Produkten können Sie wie folgt abrufen: Rufen Sie das SophosTalk Forum unter http://community.sophos.com/ auf und suchen Sie nach Benutzern mit dem gleichen Problem. Durchsuchen Sie die Sophos Support-Knowledgebase unter http://www.sophos.de/support/. Laden Sie Dokumentation zu den Produkten unter http://www.sophos.de/support/docs/ herunter. Senden Sie eine E-Mail an [email protected] ,und geben Sie die Versionsnummer(n), Betriebssystem(e) und Patch Level Ihrer Sophos Software sowie ggf. den genauen Wortlaut von Fehlermeldungen an. 51 51 Sophos Mobile Control 20 Rechtliche Hinweise Copyright © 2011 – 2012 Sophos Group. Alle Rechte vorbehalten Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers. Sophos ist ein eingetragenes Warenzeichen von Sophos Limited. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber. 52