Sophos Mobile Control Kurzanleitung
Transcrição
Sophos Mobile Control Kurzanleitung
Sophos Mobile Control Kurzanleitung Produktversion: 6 Stand: Dezember 2015 Inhalt 1 Über dieses Handbuch.......................................................................................................4 2 Einführung in Sophos Mobile Control.................................................................................5 3 Sophos Mobile Control Lizenzen........................................................................................7 3.1 Evaluierungslizenzen............................................................................................7 3.2 Probelizenzen in Voll-Lizenzen umwandeln..........................................................7 3.3 Lizenzen aktualisieren..........................................................................................7 4 Die wichtigsten Schritte......................................................................................................8 5 Anmelden als Superadministrator......................................................................................9 6 Starten Sie den Konfigurations-Assistenten.....................................................................10 7 Überprüfen Ihrer Lizenzen................................................................................................13 7.1 SMC Advanced-Lizenzen aktivieren...................................................................13 8 Kunden erstellen..............................................................................................................14 9 Wechsel zum neuen Kunden............................................................................................17 10 Erstellen eines Administrators für den neuen Kunden...................................................18 11 Konfigurieren von Einstellungen.....................................................................................19 11.1 Konfigurieren von persönlichen Einstellungen..................................................19 11.2 Konfigurieren von Kennwortrichtlinien..............................................................20 11.3 Konfigurieren eines technischen Kontakts........................................................21 11.4 Konfigurieren von Self Service Portal Einstellungen........................................21 12 Apple Push Notification Service Zertifikate....................................................................22 12.1 Anforderungen..................................................................................................22 12.2 Erzeugen und Hochladen eines APNs-Zertifikats ...........................................22 13 Compliance-Richtlinie erstellen......................................................................................24 14 Erstellen von Gerätegruppen.........................................................................................26 15 Konfigurieren von Apple iOS-Geräten............................................................................27 15.1 Erstellen von Profilen für iOS-Geräte...............................................................27 15.2 Erstellen von Auftragspaketen für Apple iOS-Geräte.......................................28 16 Konfigurieren von Android-Geräten................................................................................30 16.1 Erstellen von Profilen für Android-Geräte.........................................................30 16.2 Erstellen von Auftragspaketen für Android-Geräte...........................................31 17 Aktualisieren der Self Service Portal Einstellungen.......................................................33 18 Erstellen eines Self Service Portal Test-Benutzers........................................................34 19 Testen der Geräteregistrierung über das Self Service Portal.........................................35 20 Benutzer in Sophos Mobile Control importieren.............................................................36 2 21 Verwenden Sie den Gerät-Registrierungs-Assistenten um neue Geräte zuzuordnen und zu registrieren..........................................................................................................37 22 Glossar...........................................................................................................................39 23 Technischer Support.......................................................................................................40 24 Rechtliche Hinweise.......................................................................................................41 3 Sophos Mobile Control 1 Über dieses Handbuch Diese Anleitung beschreibt Schritt für Schritt die Erstkonfiguration von Sophos Mobile Control für das Management Ihrer Mobilgeräte. Weitere Informationen finden Sie im Sophos Mobile Control Administratorhandbuch. Diese Anleitung konzentriert sich auf Apple iOS und Android als die gängigsten Mobil-Betriebssysteme. Für andere Betriebssysteme gelten die Einstellungen auf ähnliche Weise. 4 Kurzanleitung 2 Einführung in Sophos Mobile Control Sophos Mobile Control Sophos Mobile Control ist eine Device Management Lösung für Mobilgeräte wie Smartphones und Tablets. Sophos Mobile Control hilft Ihnen, Ihre Unternehmensdaten durch die Verwaltung und Steuerung von Apps und Sicherheitseinstellungen zu schützen. Sophos Mobile Control besteht aus einer Server- und einer Client-Komponente. Der Server ist die Kernkomponente von Sophos Mobile Control. Er beinhaltet eine Web-Schnittstelle für die Administration von Sophos Mobile Control und zur Verwaltung der registrierten Mobilgeräte. Der Sophos Mobile Control Client ist eine App, die auf den mobilen Geräten installiert wird. Die App ermöglicht Over-the-air-Setup und Konfiguration über die Web-Schnittstelle des Sophos Mobile Control Servers. Mit dem Sophos Mobile Control Self Service Portal für Ihre Benutzer können Sie den Aufwand für die IT verringern, indem Sie die Benutzer dazu berechtigen, ihre eigenen Geräte zu registrieren und andere Aufgaben auszuführen, ohne dass Unterstützung durch das Helpdesk erforderlich ist. Mit Sophos Mobile Control können Sie neben dem Sophos Mobile Control Client auch die Apps Sophos Mobile Security, Sophos Secure Workspace und Sophos Secure Email verwalten. Dazu benötigen Sie eine SMC Advanced-Lizenz, siehe Sophos Mobile Control Lizenzen (Seite 7). Sophos Mobile Security Sophos Mobile Security ist eine Sicherheits-App für Smartphones und Tablets mit Android. Die App schützt Ihr Android-Gerät und Ihre Privatsphäre ohne die Performance oder die Akkuleistung Ihres Geräts zu beeinträchtigen. Mithilfe laufend aktualisierter Daten von SophosLabs werden Ihre Apps noch während der Installation automatisch gescannt. Diese Anti-Virus-Funktionalität schützt Sie vor schädlicher Software, die sonst zu Datenverlust oder unerwarteten Kosten führen kann. Sophos Secure Workspace Sophos Secure Workspace ist eine App für Geräte mit Apple iOS oder Android, die eine geschützte Arbeitsumgebung für Ihre wichtigen Dokumente bereitstellt: Durchsuchen, verwalten, bearbeiten, teilen, verschlüsseln und entschlüsseln Sie Dokumente, die Ihr Unternehmen auf Ihr Gerät übertragen hat, sowie auf verschiedenen Cloud-Speichern. Es wurde entwickelt um Datenverlust unter allen Umständen zu verhindern, sogar wenn Ihr Gerät gestohlen wird oder Sie ein Dokument unbeabsichtigt an einen falschen Empfänger senden. Dateien können nahtlos entschlüsselt und angezeigt werden. Verschlüsselte Dateien können von anderen Apps übergeben und zu einem der unterstützten Cloud Storage-Anbietern hochgeladen werden. Alternativ können die Dokumente lokal innerhalb der App gespeichert werden. Mit Sophos Secure Workspace können Sie mit SafeGuard Cloud Storage oder SafeGuard Data Exchange verschlüsselte Dateien lesen. SafeGuard Cloud Storage und SafeGuard Data 5 Sophos Mobile Control Exchange sind Module von SafeGuard Enterprise oder einer der verschiedenen Produkteditionen. Sophos Secure Workspace beinhaltet außerdem Secure Browser, einen Web-Browser, der sicheren Zugang zum Intranet Ihres Unternehmens und zu anderen als sicher eingestuften Webseiten ermöglicht, die vom Administrator in Sophos Mobile Control definiert wurden. Sophos Secure Email Sophos Secure Email ist eine App für Geräte mit Apple iOS oder Android, die eine geschützte Arbeitsumgebung für die Verwaltung Ihrer E-Mails, Kontakte und Kalender bereitstellt. Alle Daten werden verschlüsselt und so vor Zugriff durch unbefugte Dritte geschützt. 6 Kurzanleitung 3 Sophos Mobile Control Lizenzen Sophos Mobile Control bietet zwei Arten von Lizenzen: ■ SMC Standard-Lizenz ■ SMC Advanced-Lizenz Mit dem erweiterten Funktionsumfang der SMC Advanced-Lizenz können Sie Sophos Mobile Security, Sophos Secure Workspace und Sophos Secure Email verwalten, siehe Einführung in Sophos Mobile Control (Seite 5). Weitere Informationen zur Verwaltung von Sophos Mobile Security, Sophos Secure Workspace und Sophos Secure Email mit dem Sophos Mobile Control Web-Portal finden Sie in der Sophos Mobile Control Administratorhilfe. Als Superadministrator können Sie erworbene Lizenzen im Superadministrator-Kunden aktivieren und die gewünschte Anzahl an lizenzierten Benutzern einzelnen Kunden zuordnen. 3.1 Evaluierungslizenzen Sophos bietet eine kostenlose Evaluierungslizenz für Sophos Mobile Control an. Sie können sich auf der Sophos Website für die Evaluierungslizenz registrieren: http://www.sophos.com/de-de/products/free-trials/mobile-control.aspx. Mit einer Evaluierungslizenz können Sie bis zu fünf Benutzer verwalten. Diese Lizenz ist 30 Tage gültig. Zum Einrichten von Sophos Mobile Control für die Evaluierung benötigen Sie lediglich die E-Mail-Adresse, die Sie beim Herunterladen des Installers für die Registrierung verwendet haben. 3.2 Probelizenzen in Voll-Lizenzen umwandeln Um Probelizenzen in Voll-Lizenzen umzuwandeln, müssen Sie lediglich in der Sophos Mobile Control Web-Konsole Ihren Lizenzschlüssel für die Voll-Lizenzen eingeben. Für weitere Informationen siehe die Sophos Mobile Control Administratorhilfe. 3.3 Lizenzen aktualisieren Um Ihre Lizenzen zu aktualisieren, müssen Sie lediglich in der Sophos Mobile Control Web-Konsole den neuen Lizenzschlüssel eingeben. Weitere Informationen finden Sie im Sophos Mobile Control Super Administrator Guide (Englisch). 7 Sophos Mobile Control 4 Die wichtigsten Schritte Erste Schritte zur Verwendung von Sophos Mobile Control: 1. Melden Sie sich am Sophos Mobile Control Web-Portal als Super-Administrator an. 2. Starten Sie den Konfigurations-Assistenten um die initiale Konfiguration des Sophos Mobile Control Servers durchzuführen. Hinweis: Sie können eine Evaluierungslizenz anfordern, wenn der Konfigurationsassistent ausgeführt wird. 3. 4. 5. 6. Überprüfen Ihrer Lizenzen Erstellen eines neuen Kunden für die Verwaltung Ihrer Geräte Wechsel zum neuen Kunden Erstellen eines Administrators für den neuen Kunden und Anmelden am Web-Portal mit diesem Administrator 7. Konfigurieren Sie persönliche Einstellungen, Passwortrichtlinien für die Benutzer des Web-Portals, den technischen Kontakt sowie Einstellungen für das Self Service Portal. 8. Erzeugen Sie ein Apple Push Notification Service-Zertifikat und laden Sie dieses hoch. 9. Konfigurieren von Geräterichtlinien 10. Erstellen von Gerätegruppen 11. Konfigurieren von Geräten 12. Aktualisieren Sie die Einstellungen für das Self Service Portal, fügen Sie einen Self Service Portal-Benutzer hinzu und testen Sie die Bereitstellung über das Self Service Portal. 13. Fügen Sie Benutzer hinzu, entweder indem Sie diese anlegen oder Ihre Benutzerliste hochladen. 14. Optional können Sie einen externen EAS-Proxy einrichten, um E-Mail-Verkehr von Mobilgeräten zu einem E-Mail-Server zu filtern. 8 Kurzanleitung 5 Anmelden als Superadministrator Sie müssen sich im Sophos Mobile Control Web-Portal mit dem Superadministrator anmelden, der während der Installation von Sophos Mobile Control konfiguriert wurde, um einige initiale Konfigurationsschritte durchzuführen. 1. Verwenden Sie Ihren bevorzugten Web-Browser, um die URL des Web-Portals zu öffnen, die Sie bei der Installation von Sophos Mobile Control konfiguriert haben. 2. Geben Sie im Anmeldedialog den Superadministrator-Kundennamen und die Anmeldeinformationen für den Superadministrator ein und klicken Sie Anmelden. Sie sind als Superadministrator angemeldet. Hinweis: Wenn Sie bei der Anmeldung den Superadministrator-Kunden verwenden, sehen Sie eine spezielle Version des Sophos Mobile Control Web-Portals, das auf die besonderen Anforderungen des Superadministrators abgestimmt ist. Informationen zur Benutzung des Sophos Mobile Control Web-Portals als Superadministrator finden Sie im Sophos Mobile Control Super Administrator Guide (Englisch). 9 Sophos Mobile Control 6 Starten Sie den Konfigurations-Assistenten Wenn Sie sich zum ersten Mal nach der Installation am Sophos Mobile Control Web-Portal anmelden wird ein Konfigurations-Assistent für die Konfiguration bestimmter Server-Einstellungen gestartet. Folgende Informationen sind erforderlich: ■ SMC Standard-Lizenzschlüssel; optional zusätzlich ein SMC Advanced-Lizenzschlüssel ■ SSL-Zertifikat(e) ■ SMTP-Zugangsdaten ■ HTTP-Proxy-Zugangsdaten (optional) Hinweis: Als Superadministrator können Sie diese Einstellungen nachträglich auf der Seite Systemeinstellungen im Sophos Mobile Control Web-Portal anpassen. Um die Seite Systemeinstellungen zu öffnen, klicken Sie in der Menüleiste EINSTELLUNGEN > Einstellungen > Systemeinstellungen. So starten Sie den Konfigurations-Assistenten: 1. Wenn Sie sich zum ersten Mal als Superadministrator im Sophos Mobile Control Web-Portal anmelden, wird die Ansicht Willkommen angezeigt. Klicken Sie auf Weiter. 2. Konfigurieren Sie die relevanten Server-Details in der Ansicht HTTP-Proxy, falls Sie einen HTTP-Proxy verwenden. a) Wählen Sie Proxy. b) Geben Sie den Proxy-Host ein. c) Geben Sie den Proxy-Port ein. d) Klicken Sie auf Weiter. 10 Kurzanleitung 3. Geben Sie in der Ansicht Lizenz Ihren SMC Standard-Lizenzschlüssel ein oder fordern Sie eine Evaluierungslizenz an: ■ SMC Standard-Lizenzschlüssel: Wenn Sie Ihren SMC Standard-Lizenzschlüssel eingeben und Aktivieren klicken, erhalten Sie die Möglichkeit, zusätzlich einen SMC Advanced-Lizenzschlüssel einzugeben. Wenn Sie Advanced-Lizenzschlüssel erworben haben, geben Sie den Schlüssel im Feld Advanced-Lizenzschlüssel . ■ Evaluierungslizenz anfordern: Klicken Sie Evaluierungslizenz anfordern und geben Sie die E-Mail-Adresse ein, die Sie für das Herunterladen des Sophos Mobile Control Installers von www.sophos.com/de-de verwendet haben. Klicken Sie erneut auf Evaluierungslizenz anfordern. Hinweis: Sie können die Lizenz-Einstellungen jederzeit im Sophos Mobile Control Web-Portal ändern. Wenn Sie hier keinen SMC Advanced-Lizenzschlüssel eingeben, können Sie dies auch später im Web-Portal nachholen. Klicken Sie auf Weiter. 4. Konfigurieren Sie in der Ansicht SSL die Zertifikate, die zur Sicherung der SSL-Verbindung zwischen Sophos Mobile Control Server und Clients verwendet werden sollen. Sie können bis zu vier Zertifikate konfigurieren, da abhängig von Ihrer Netzwerkarchitektur unterschiedliche Zertifikate für Clients verwendet werden können, die via Internet oder via Intranet verbunden sind. Über den Sophos Mobile Control Server wird die Liste der Zertifikate an die Clients übermittelt. Beim Einrichten der SSL-Verbindung vertrauen die Clients dem Server nur dann, wenn das verwendete Zertifikat in der Liste enthalten ist (certificate pinning). a) Klicken Sie Zertifikate automatisch erkennen. In den meisten Fällen ist die Funktion zum automatischen Erkennen ausreichend, um die aktuell genutzten Zertifikate zu finden. b) Wenn die Zertifikate nicht automatisch gefunden werden, können Sie sie manuell hochladen: Klicken Sie Datei hochladen und wählen Sie die relevanten .CER oder .DER Dateien aus. Die Zertifikate werden in der Ansicht SSL angezeigt. Wichtig: Aktualisieren Sie die Liste, wenn Sie SSL-Zertifikate geändert oder erneuert haben. Es muss zu jedem Zeitpunkt zumindest ein gültiges Zertifikat verfügbar sein. Andernfalls vertrauen die Clients dem Server nicht und stellen keine Verbindung her. 11 Sophos Mobile Control 5. Konfigurieren Sie in der Ansicht SMTP die SMTP-Server-Informationen sowie die Anmeldeinformationen. SMTP muss konfiguriert werden damit E-Mails mit Anmeldeinformationen an neue Benutzer gesendet werden können. Außerdem muss SMTP für die Registrierung per E-Mail konfiguriert werden. Option Beschreibung SMTP-Host Die SMTP-Server-Adresse Verbindungstyp Wählen Sie SSL, TSL oder unverschlüsselt. SMTP-Benutzer Wenn vom SMTP-Server gefordert, geben Sie den Namen eines Benutzers ein, der sich verbinden darf. SMTP-Kennwort Das Passwort des SMTP-Benutzers. E-Mail-Absender Die E-Mail-Adresse, die im Feld Von in E-Mails von Sophos Mobile Control angezeigt wird. Absendername Der Name des Verfassers, der im Feld Von angezeigt wird. Sie können, wenn gewünscht, später für jeden Kunden einen anderen Absendernamen definieren, nicht jedoch eine andere E-Mail-Adresse). Siehe Sophos Mobile Control Administratorhilfe. Fehler-E-Mails senden Wählen Sie diese Option, wenn Sie möchten, dass Sophos Mobile Control Fehler-E-Mails sendet, zum Beispiel wenn ein APNS-Zertifikat abläuft. E-Mail-Empfänger Geben Sie die E-Mail-Adressen der Empfänger ein, die die Fehler-E-Mails erhalten sollen. 6. Klicken Sie, nachdem Sie die relevanten Informationen konfiguriert haben, auf Test-E-Mail senden um die E-Mail-Konfiguration zu überprüfen. 7. Klicken Sie auf Finish. 12 Kurzanleitung 7 Überprüfen Ihrer Lizenzen Sophos Mobile Control beruht auf einer benutzerbasierten Lizenzregelung. Eine einzelne Benutzerlizenz ist für alle Geräte gültig, die dem betreffenden Benutzer zugewiesen sind. Für Geräte, die keinem Benutzer zugewiesen sind, ist jeweils eine Lizenz erforderlich. So überprüfen Sie Ihre verfügbaren Lizenzen: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Systemeinstellungen. 2. Klicken Sie auf der Seite Systemeinstellungen auf die Registerkarte Lizenzen. Die folgenden Informationen werden angezeigt: ■ Anzahl von Lizenzen: Anzahl der Endbenutzer, die über das Web-Portal verwaltet werden können. ■ Genutzte Lizenzen: Anzahl der verwendeten Lizenzen. ■ Gültig bis: Lizenzablaufdatum ■ Lizenz-URL: URL des Sophos Mobile Control Servers, für den die Lizenz ausgestellt wurde. Wenn Sie Fragen zu den Lizenzinformationen haben, oder wenn die angezeigten Informationen Ihrer Meinung nach nicht korrekt sind, wenden Sie sich an Ihren Sophos Vertriebspartner. 7.1 SMC Advanced-Lizenzen aktivieren Mit SMC Advanced-Lizenzen können Sie Sophos Mobile Control verwenden um die Apps Sophos Mobile Security, Sophos Secure Workspace und Sophos Secure Email zu verwalten. Siehe Einführung in Sophos Mobile Control (Seite 5). Wenn SMC Advanced-Lizenzen nicht bei der initialen Konfiguration von Sophos Mobile Control aktiviert wurden, kann der Superadministrator sie später über das Sophos Mobile Control Web-Portal aktivieren: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Systemeinstellungen. 2. Geben Sie in der Registerkarte Lizenz unter Advanced-Lizenzschlüssel Ihren Lizenzschlüssel ein und klicken Sie Aktivieren. Wenn der Schlüssel aktiviert ist, werden die Lizenz-Details angezeigt. 13 Sophos Mobile Control 8 Kunden erstellen Sie müssen am Sophos Mobile Control Web-Portal als Super-Administrator angemeldet sein. 1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Dashboard. 2. Klicken Sie Kunden erstellen. 14 Kurzanleitung 3. Konfigurieren Sie auf der Seite Kunden bearbeiten die folgenden Einstellungen: Alle Einstellungen, abgesehen von Name, sind optional. Option Beschreibung Name Name des Kunden. Beschreibung Text zur Beschreibung des Zwecks des Kundenkontos. Maximale Anzahl von Lizenzen Die Anzahl der Endbenutzer und Geräte ohne Endbenutzer, die für den Kunden verwaltet werden können. Advanced-Lizenzen Mit SMC Advanced-Lizenzen können Sie Sophos Mobile Control verwenden um die Apps Sophos Mobile Security, Sophos Secure Workspace und Sophos Secure Email zu verwalten. Gültig bis Ablaufdatum der dem Kunden zugeordneten Lizenzen. Nach diesem Datum können Sie keine neuen Aufgaben für die veralteten Geräte erzeugen. Konto deaktiviert Wenn ausgewählt, ist die Anmeldung an diesen Kunden deaktiviert. Als Superadministrator können Sie in der Auswahlliste in der Navigationsleiste auch jetzt zur Kundenansicht schalten. Ein deaktiviertes Konto kann über das Kontrollkästchen Konto deaktiviert wieder aktiviert werden. Aktivierte Plattformen Wählen Sie die Plattformen aus, für die Geräte für den Kunden registriert werden dürfen. Gerätestandorte bestimmen Wählen Sie Erlaubt für Benutzer um Benutzern zu ermöglichen, Ihre Geräte im Fall von Verlust oder Diebstahl zu orten. Wählen Sie Lokalisierung für Administrator aus, damit Administratoren Geräte orten können. Kopieren von Einstellungen Wählen Sie Einstellungen und Pakete, um alle Profile und Pakete, die im Superadministrator-Konto erzeugt wurden, auch im Kunden-Konto verfügbar zu machen. Benutzerverzeichnis Wählen Sie die Datenquelle für die mit Sophos Mobile Control zu verwaltenden Self Service Portal (SSP) Benutzer aus. Wählen Sie: Kein Verzeichnis. SSP, benutzerspezifische Profile und LDAP-Administratoren sind nicht verfügbar: Deaktiviert die Erstellung von Benutzerkonten und das Nachschlagen von Web-Portal-Konten von einem LDAP-Verzeichnis Internes Verzeichnis: Interne Benutzerverwaltung für SSP und Web-Portal-Konten verwenden. Für weitere Informationen siehe das Sophos Mobile Control Administratorhandbuch. Externes LDAP-Verzeichnis: Zusätzlich zur internen Benutzerverwaltung können Sie SSP- und Web-Portal-Konten von einem LDAP-Verzeichnis nachschlagen. Klicken Sie auf Externes LDAP konfigurieren, um die Serverdaten anzugeben. 15 Sophos Mobile Control 4. Klicken Sie auf Speichern. Der Kunde ist angelegt und wird im Übersicht angezeigt. 16 Kurzanleitung 9 Wechsel zum neuen Kunden Um die initiale Konfiguration des Kunden, den Sie im letzten Abschnitt erstellt haben, abzuschließen, müssen Sie vom Super Administrator Kunden zu jenem Kunden wechseln. Dadurch ändert sich auch die Ansicht im Web-Portal von der speziellen Super Administrator Ansicht zur normalen Ansicht. So wechseln Sie zur Ansicht des neuen Kunden: 1. Klicken Sie in der Navigationsleiste der Super Administrator Ansicht auf die Liste der verfügbaren Kunden. Der Super Administrator Kunde ist mit einem Stern markiert und wird an erster Stelle der Dropdown-Liste angezeigt. 2. Wählen Sie den Kunden, den Sie zuvor erstellt haben. Die Ansicht des Sophos Mobile Control Web-Portals wechselt zu der Ansicht, die Sie ab nun immer sehen, wenn Sie sich mit diesem Kunden anmelden. 17 Sophos Mobile Control 10 Erstellen eines Administrators für den neuen Kunden 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Administratoren und klicken Sie dann Administrator erstellen. 2. Konfigurieren Sie auf der Seite Administrator bearbeiten die Account-Daten für den Administrator. ■ ■ Wenn Externes LDAP-Verzeichnis als Benutzerverzeichnis für den Kunden ausgewählt ist, können Sie auf Benutzer mittels LDAP nachschlagen klicken, um einen bestehenden LDAP-Account auszuwählen. Ist Internes Verzeichnis oder Kein als Benutzerverzeichnis für den Kunden ausgewählt, geben Sie die relevanten Daten für Anmeldename, Vorname, Nachname, E-Mail Adresse und Kennwort ein. Das Passwort, das Sie definieren, ist nur einmal gültig. Bei der ersten Anmeldung wird der Administrator aufgefordert, es zu ändern. 3. Wählen Sie im Listenfeld Rolle die Benutzerrolle Administrator. 4. Klicken Sie Speichern, um den Administrator-Account anzulegen. Um mit der Konfiguration des Kunden fortzufahren, melden Sie sich beim Web-Portal ab und wieder an; verwenden Sie dazu die Anmeldeinformationen für den Administrator, den Sie gerade angelegt haben (Kundenname, Anmeldename, Einmal-Passwort). 18 Kurzanleitung 11 Konfigurieren von Einstellungen Die folgenden Einstellungen müssen konfiguriert werden: ■ Persönliche Einstellungen, zum Beispiel die Plattformen, die Sie verwalten möchten ■ Kennwortrichtlinien ■ Technischer Kontakt ■ Einstellungen für die Benutzung des Self Service Portal durch Endbenutzer 11.1 Konfigurieren von persönlichen Einstellungen Damit Sie das Sophos Mobile Control Web-Portal möglichst effizient nutzen können, lässt sich die Benutzeroberfläche so anpassen, dass nur die Plattformen, mit denen Sie arbeiten möchten, angezeigt werden. Hinweis: Durch das Konfigurieren der Plattformen können Sie nur die Ansicht des aktuell angemeldeten Benutzers ändern. Sie können hier keine Funktionen deaktivieren. Voraussetzung: Sie haben sich mit dem Administrator, den Sie für den neuen Kunden erstellt haben, am Web-Portal angemeldet. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie dann die Registerkarte Persönlich. 19 Sophos Mobile Control 2. Konfigurieren Sie folgende Einstellungen: Option Beschreibung Sprache Wählen Sie die Sprache für das Sophos Mobile Control Web-Portal. Zeitzone Wählen Sie die Zeitzone für die Datumsanzeige. Längeneinheit Wählen Sie, ob Längeneinheiten Metrisch oder Imperial dargestellt werden sollen. Datensätze pro Tabellenseite Wählen Sie die maximale Anzahl an Tabellenzeilen aus, die im Web-Portal pro Seite angezeigt werden sollen. Erweiterte Gerätedetails anzeigen Wählen Sie dieses Kontrollkästchen, um alle verfügbaren Informationen über das Gerät anzuzeigen. Die Registerkarten Eigene Eigenschaften und Interne Eigenschaften werden der Ansicht Gerät anzeigen hinzugefügt. Aktivierte Plattformen Wählen Sie die Plattformen, die Sie für den Kunden verwalten möchten. Android iOS Windows Mobile (beinhaltet Windows Phone 8.x und Windows 10 Mobile) Die Benutzeroberfläche des Web-Portals wird entsprechend der ausgewählten Plattformen angepasst. Es werden nur Ansichten und Features angezeigt, die für die ausgewählten Plattformen relevant sind. Hinweis: Die Liste der verfügbaren Plattformen richtet sich nach den Einstellungen aus der Super-Administrator-Konfiguration. Weitere Informationen finden Sie im Sophos Mobile Control Super Administrator Guide (Englisch). 3. Klicken Sie auf Speichern. 11.2 Konfigurieren von Kennwortrichtlinien Konfigurieren Sie zur Durchsetzung der Sicherheit von Kennwörtern Kennwortrichtlinien für Benutzer des Sophos Mobile Control Web-Portals und des Self Service Portals. Hinweis: Die Kennwortrichtlinien gelten nicht für Benutzer eines externen LDAP-Verzeichnisses. Informationen zur externen Benutzerverwaltung finden Sie im Sophos Mobile Control Super Administrator Guide (Englisch). 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie dann auf die Registerkarte Kennwortrichtlinien. 2. Unter Regeln können Sie Mindestanforderungen definieren, zum Beispiel die Mindestanzahl der Kleinbuchstaben, Großbuchstaben oder Ziffern, damit das Kennwort gültig ist. 20 Kurzanleitung 3. Konfigurieren Sie unter Einstellungen folgende Einstellungen: a) Änderungsintervall (Tage): Geben Sie die Anzahl der Tage bis zum Ablauf des Kennworts (maximal 730 Tage) ein oder geben Sie 0 ein, um das Ablaufen des Passworts zu deaktivieren. b) Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen: Wählen Sie einen Wert zwischen 1 und 10, oder wählen Sie ---, um diese Einschränkung zu deaktivieren. c) Maximale Anzahl fehlerhafter Loginversuche: Wählen Sie die maximale Anzahl an fehlgeschlagenen Login-Versuchen bevor das Konto gesperrt wird (zwischen 1 und 10), oder wählen Sie ---, um unbegrenzt viele Login-Versuche zuzulassen. 4. Klicken Sie auf Speichern. 11.3 Konfigurieren eines technischen Kontakts Um Benutzer bei Fragen oder Problemen zu unterstützen, können Sie Informationen zu einem technischen Kontakt konfigurieren. Die Informationen, die Sie hier eingeben, werden in der Sophos Mobile Control App und im Self Service Portal angezeigt. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie dann die Registerkarte Technischer Kontakt. 2. Geben Sie die erforderlichen Informationen für den technischen Kontakt ein. 3. Klicken Sie auf Speichern. 11.4 Konfigurieren von Self Service Portal Einstellungen 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Self Service Portal. Die Seite Self Service Portal wird angezeigt. 2. Konfigurieren Sie in der Registerkarte Konfiguration die gewünschten Einstellungen für das Self Service Portal. Wenn Sie nicht sicher sind, welche Einstellungen in dieser Phase angewendet werden sollen, können Sie bei allen Optionen die Standardeinstellungen beibehalten. Für eine detaillierte Beschreibung aller Einstellungen klicken Sie Hilfe in der Navigationsleiste. 3. Klicken Sie in der RegisterkarteZustimmungstext auf Bearbeiten und geben Sie eine Mobil-Richtlinie, einen Disclaimer oder eine Vereinbarung ein. Dieser Text wird zu Beginn der Geräteregistrierung angezeigt. Benutzer müssen bestätigen, den Text gelesen zu haben, um mit der Registrierung fortfahren zu können. Tipp: Mit der Editor-Toolbar können Sie grundlegende HTML-Formatierung auf den Text anwenden. Dies gilt ebenso für den Installations-Abschlusstext, der im nächsten Schritt beschrieben wird. 4. Optional: Klicken Sie in der Registerkarte Installations-Abschlusstext auf Bearbeiten und geben Sie einen Text ein, der zum Abschluss der Geräteinstallation angezeigt wird. In diesem Text können Sie mögliche Schritte erläutern, die der Benutzer nach der Registrierung durchzuführen hat. 5. Klicken Sie auf Speichern. 21 Sophos Mobile Control 12 Apple Push Notification Service Zertifikate Um das integrierte Mobile Device Management (MDM) Protocol von Geräten mit Apple iOS verwenden zu können, muss Sophos Mobile Control den Apple Push Notification Service (APNS) zum Triggern der Geräten benutzen. Sophos Mobile Control verwaltet APNS-Zertifikate pro Kunde. Sie müssen die Zertifikate für jeden Kunden, den Sie verwenden, erstellen und hochladen. Hinweis: Wenn der Superadministrator einen Kunden anlegt, können Einstellungen und Pakete des Superadministrator-Kunden für den neuen Kunden übernommen werden; siehe Kunden erstellen (Seite 14). Dies beinhaltet die APNS-Zertifikate. Beachten Sie, dass die Zertifikate nicht vererbt sondern kopiert werden. Das bedeutet, wenn ein Zertifikat abgelaufen ist, müssen Sie es für jeden Kunden eigens erneuern. Die folgenden Abschnitte beschreiben die Voraussetzungen und die nötigen Schritte um Zugang zu den APNS-Servern mit Ihrem eigenen Client-Zertifikat zu bekommen. 12.1 Anforderungen Für die Kommunikation mit dem Apple Push Notification Service (APNs) muss TCP-Datenverkehr über folgende Ports erlaubt werden: ■ Der Sophos Mobile Control Server muss sich mit gateway.push.apple.com:2195 TCP (17.0.0.0/8) verbinden. ■ Jedes Apple iOS Gerät, das ausschließlich über WLAN-Verbindung verfügt, muss sich mit *.push.apple.com:5223 TCP (17.0.0.0/8) verbinden. 12.2 Erzeugen und Hochladen eines APNs-Zertifikats Um diese Aufgabe auszuführen, muss die Plattform iOS bei den persönlichen Einstellungen des Kunden aktiviert sein; siehe Konfigurieren von persönlichen Einstellungen (Seite 19). Hinweis: Verwenden Sie zum Öffnen von Apple-Webseiten nicht den Internet Explorer. Apple empfiehlt den hauseigenen Browser Safari, aber auch Mozilla Firefox, Opera oder Google Chrome funktionieren. 1. Sie können mit dem APNs Certificate Wizard ein neues APNs-Zertifikat erstellen. Der Wizard ist in Ihrer Produktlieferung enthalten. Er steht außerdem über das Web-Portal zum Download zur Verfügung. Gehen Sie in der Menüleiste des Web-Portals unter EINSTELLUNGEN zu Setup > System Setup > iOS APNS und klicken Sie den Download-Link. 2. Öffnen Sie die Datei Sophos Mobile Control APNs Certificate Wizard.exe um den APNs Certificate Wizard zu starten. 3. Klicken Sie auf der Seite License Agreement auf I Agree um die Lizenzbedingungen zu akzeptieren. 22 Kurzanleitung 4. Geben Sie auf der Seite Create Certificate Signing Request im Feld Company Name den Namen Ihres Unternehmens und im Feld Country Ihren Ländercode, zum Beispiel DE oder AT ein. Das Verzeichnis, in dem der Certificate Request gespeichert wird, wird auf der Seite Create Certificate Signing Request angezeigt. Merken oder notieren Sie sich diese Informationen und klicken Sie Weiter. 5. Übermitteln Sie auf der Seite Upload PLIST den Certificate Signing Request an Apple. Folgen Sie den Anweisungen im Dialog: a) Verwenden Sie zum Öffnen der Apple-Seite als Browser Firefox, Chrome oder Safari. Wir empfehlen, die aktuellste Browser-Version zu verwenden. b) Melden Sie sich mit Ihrer Apple-ID an oder erstellen Sie eine, wenn Sie noch keine haben. Wir empfehlen, eine Firmen-Apple ID zu erstellen, keine persönliche. c) Klicken Sie auf der ersten Seite des Apple Push Certificate Portal auf Create a Certificate. d) Akzeptieren Sie die Geschäftsbedingungen. e) Suchen Sie Ihr Certificate Signing Request (*.plist) und klicken Sie auf Upload. Auf der Seite Upload PLIST können Sie den Link Upload to Apple klicken, um das Verzeichnis zu öffnen, in dem die *.plist Datei erzeugt wurde. f) Sobald Ihr APNs-Zertifikat erzeugt wurde, können Sie die Datei (*.pem) herunterladen und im Verzeichnis PEM from Apple speichern. 6. Klicken Sie auf Weiter. 7. Auf der Seite Create P12 erstellen Sie Ihr APNs-Zertifikat für Sophos Mobile Control. Geben Sie ein Kennwort für das APNs-Zertifikat ein. Sie benötigen dieses Kennwort später, wenn Sie die .P12 Zertifikatsdatei in Sophos Mobile Control hochladen. Das Verzeichnis, in dem das Zertifikat gespeichert wird, wird auf der Seite Create P12 angezeigt. Merken oder notieren Sie sich diese Informationen und klicken Sie Weiter. Hinweis: Wir empfehlen, von diesem Verzeichnis eine Sicherungskopie anzulegen. 8. Klicken Sie auf der Seite Sophos Mobile Control APNs Certificate Wizard finished auf Finish. 9. Klicken Sie auf der Registerkarte iOS APNS im Sophos Mobile Control Web-Portal auf Datei hochladen. Suchen Sie nach der .P12 Zertifikatsdatei, die Sie erstellt haben, und geben Sie Ihr Kennwort ein. Optional können Sie Ihre Apple ID eingeben. Wenn die Datei erfolgreich hochgeladen wurde, wird eine Bestätigungsmeldung angezeigt. Außerdem werden die Informationen zu Topic, Typ und Ablaufdatum Ihres APNs-Zertifikats angezeigt. 10. Klicken Sie auf Speichern, um die Konfiguration zu speichern. 23 Sophos Mobile Control 13 Compliance-Richtlinie erstellen Mit Compliance-Richtlinien können Sie: ■ Bestimmte Features eines Mobilgeräts erlauben, verbieten oder erzwingen. ■ Aktionen definieren, die ausgeführt werden, wenn eine Compliance-Richtlinie verletzt wird. Sie können mehrere Compliance-Richtlinien erstellen und unterschiedlichen Gerätegruppen zuweisen. Somit können Sie verschiedene Sicherheitsstufen auf Ihre verwalteten Geräte anwenden. Tipp: Wenn Sie sowohl Firmengeräte als auch private Mobilgeräte verwalten möchten, empfehlen wir, zumindest für diese beiden Gerätetypen unterschiedliche Compliance-Richtlinien zu definieren. Weitere Informationen zu Compliance-Richtlinien finden Sie in der Sophos Mobile Control Super Administratorhilfe. So erstellen Sie Compliance-Richtlinien: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Compliance-Richtlinien. 2. Klicken Sie auf der Seite Compliance-Richtlinien die Schaltfläche Compliance-Richtlinie erstellen. 3. Geben Sie einen Namen und eine optionale Beschreibung für die neue Compliance-Richtlinie ein. Die Seite Compliance-Richtlinien enthält gesonderte Registerkarten für jede Plattform, die für den Kunden aktiviert ist. Wiederholen Sie die folgenden Schritte für alle benötigten Plattformen. 4. Stellen Sie sicher, dass das Kontrollkästchen Plattform aktivieren ausgewählt ist. Wenn dieses Kontrollkästchen nicht ausgewählt ist, werden die Geräte der Plattform nicht auf Compliance überprüft. 5. Konfigurieren Sie unter Regel die Compliance-Kriterien für die ausgewählte Plattform. Jede Compliance-Regel hat ein festgelegtes Schwere-Level (hoch, mittel, niedrig), das durch blaue Balken dargestellt wird. Die erlaubt Ihnen, die Wichtigkeit jeder Regel zu beurteilen und so eine angemessene Aktion für den Fall eines Regelverstoßes zu definieren. Wenn Sie App-Gruppen definiert haben, können Sie diese den Regeln Erlaubte Apps, Nicht erlaubte Apps und Erforderliche Apps zuweisen. Für eine detaillierte Beschreibung aller Einstellungen klicken Sie Hilfe in der Navigationsleiste. 24 Kurzanleitung 6. Definieren Sie unter Wenn Regel verletzt wird..., welche Aktion im Falle eines Regelverstoßes ausgeführt wird. Option Beschreibung E-Mail verbieten E-Mail-Zugriff verweigern. Diese Aktion kann nur ausgeführt werden, wenn Sie den Sophos Mobile Control EAS Proxy Server einsetzen. Siehe Sophos Mobile Control super administrator guide. Container sperren Sophos Secure Workspace und Secure Email deaktivieren. Dies wirkt sich auf den durch diese Apps verwalteten Zugang zu Dokumenten, E-Mails und Internet aus. Diese Aktion kann nur ausgeführt werden, wenn Sie eine SMC Advanced-Lizenz aktiviert haben. Netzwerkzugriff verbieten Netzwerkzugriff verbieten. Diese Aktion kann nur ausgeführt werden, wenn der Superadministrator Network Access Control aktiviert hat. Siehe Sophos Mobile Control super administrator guide. Admin benachrichtigen Compliance-E-Mails an ausgewählte Empfänger senden. Die Liste der Empfänger und der Zeitplan sind gemeinsam für alle Compliance-Richtlinien definiert; siehe Schritt 7 weiter unten. Auftragspaket übertragen Übermitteln Sie ein bestimmtes Auftragspaket an das Gerät (optional). Wir empfehlen, dies vorerst auf Keine zu setzen. Bei falscher Anwendung werden durch Auftragspakete unter Umständen Geräte falsch konfiguriert oder sogar auf den Werkszustand zurückgesetzt. Für die Zuweisung der richtigen Auftragspakete zu Compliance-Regeln ist weitreichendere Erfahrung mit dem System notwendig. Für weitere Informationen siehe das Sophos Mobile Control Administratorhandbuch. 7. Wenn Sie alle Einstellungen für alle erforderlichen Plattformen vorgenommen haben klicken Sie Speichern um die Compliance-Richtlinie zu speichern. Die neue Richtlinie wird in der Compliance-Richtlinien Listenansicht angezeigt. 8. Wenn Sie die Aktion Admin benachrichtigen für eine der Compliance-Regeln ausgewählt haben, klicken Sie Einstellungen für Compliance-E-Mails um Empfänger und Zeitplan für die Compliance-E-Mails zu definieren. Als Empfänger können Sie entweder den Namen eines Administrators oder eine gültige E-Mail-Adresse eingeben. Hinweis: Dies sind allgemeine Einstellungen, die für alle Compliance-Regeln gelten, bei denen Admin benachrichtigen ausgewählt ist. 9. Klicken Sie Speichern, um die Compliance-E-Mail-Einstellungen zu speichern. Um eine Compliance-Richtlinie zu verwenden ordnen Sie sie nun einer Gerätegruppe zu. Dies ist im nächsten Abschnitt beschrieben. 25 Sophos Mobile Control 14 Erstellen von Gerätegruppen Wir empfehlen, Geräte zu gruppieren. Da sich Aufgaben auch bei Gerätegruppen statt bei Einzelgeräten ausführen lassen, können Sie Geräte so effizient verwalten. Hinweis: Wir empfehlen, nur Geräte mit demselben Betriebssystem zu gruppieren. Gruppen lassen sich dadurch leichter für Installationen und andere betriebssystemspezifische Vorgänge verwenden. So erstellen Sie eine neue Gerätegruppe: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen und klicken Sie anschließend auf Gerätegruppe anlegen. 2. Geben Sie auf der Seite Gerätegruppe bearbeiten einen Namen und eine Beschreibung für die neue Gerätegruppe ein. 3. Wählen Sie unter Geräterichtlinienin den Listenfeldern für Firmengeräteund für Private Geräte die Geräterichtlinien, die Sie anwenden möchten. 4. Klicken Sie auf Speichern. Hinweis: Die Einstellungen für die Gerätegruppen enthalten die Option Enable auto-enrollment. Diese Option ermöglicht es Ihnen, Apple iOS Geräte mit dem Apple Configurator zu registrieren. Für weitere Informationen siehe das Sophos Mobile Control Administratorhandbuch. Die neue Gerätegruppe wird angelegt und in der Gerätegruppen Ansicht angezeigt. Sie können nun Geräte zur neuen Gruppe hinzufügen. Hinweis: Wenn Sie eine Gerätegruppe löschen, werden die Mitglieder der Gruppe in eine andere Gruppe verschoben. Diese muss angegeben werden. Ist keine Gruppe mehr vorhanden, in die die Geräte verschoben werden können, so kann die Gruppe nicht gelöscht werden. Bevor eine Gruppe gelöscht wird, wird eine Warnungsmeldung angezeigt. 26 Kurzanleitung 15 Konfigurieren von Apple iOS-Geräten 15.1 Erstellen von Profilen für iOS-Geräte In diesem Schritt erstellen Sie ein Profil für die Erstkonfiguration von Apple iOS-Geräten. Wir empfehlen, separate Profile für folgende Einstellungen zu erzeugen: ■ Passwortrichtlinien und Einschränkungen ■ Exchange ActiveSync Einstellungen (falls erforderlich) ■ VPN-Einstellungen (falls erforderlich) ■ WLAN-Einstellungen (falls erforderlich) ■ Root- und Client-Zertifikate (falls erforderlich) Hinweis: Für das Erstellen von Profilen für Apple iOS-Geräte bietet Sophos Mobile Control zwei Verfahren: ■ Erstellen Sie Profile direkt im Web-Portal. ■ Importieren Sie Profile mit dem Apple Configurator. Dieser Abschnitt beschreibt, wie Sie Profile direkt im Web-Portal anlegen. Informationen dazu, wie Sie mit dem Apple Configurator erstellte Profile importieren, finden Sie im Sophos Mobile Control Administratorhandbuch. So erzeugen Sie ein Apple iOS Geräteprofil für Kennwortrichtlinien und Einschränkungen: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien > Apple iOS und klicken Sie anschließend auf Anlegen > Geräteprofil. 2. Konfigurieren Sie auf der Seite Profil bearbeiten die folgenden Einstellungen: a) Name: Geben Sie einen Namen für das Profil ein. Wir empfehlen, für Profile, die während der Registrierung über das Self Service Portal verwendet werden, den Namen iOS SSP-Profil zu verwenden. b) Organisation: Geben Sie den Namen der Organisation für das Profil ein, zum Beispiel einen Firmennamen. c) Version: Optional können Sie eine Versionsnummer für das Profil eingeben. d) Beschreibung: Geben Sie eine Beschreibung für das Profil ein, zum Beispiel Basisprofil. e) Durch Benutzer entfernbar: Wählen Sie, ob Benutzer das Profil von ihrem Gerät entfernen dürfen. Zur Auswahl stehen: ■ Immer ■ Mit Authentifizierung ■ Nie 27 Sophos Mobile Control Wir empfehlen, die Option Nie auszuwählen. f) Automatisch entfernen am: Optional können Sie ein Datum definieren, an dem das Profil automatisch von den Mobilgeräten entfernt wird. Wir empfehlen, kein solches Datum zu definieren. 3. Klicken Sie Anzeigen neben Betriebssysteme und wählen Sie die Version des Betriebssystems, für die das Profil gilt. Wählen Sie für dieses Profil alle relevanten iOS-Versionen aus. Die Liste enthält die iOS-Versionen der Geräte, die bereits im System registriert sind, sowie eine generische Version iOS, die alle unterstützten iOS-Versionen beinhaltet. 4. Um Passwortrichtlinien zum Profil hinzuzufügen, klicken Sie Konfiguration hinzufügen, wählen Sie Kennwortrichtlinien und klicken Sie Weiter. 5. Konfigurieren Sie auf der Seite Profil bearbeiten die erforderlichen Einstellungen. Für eine detaillierte Beschreibung aller Einstellungen klicken Sie Hilfe in der Navigationsleiste. 6. Klicken Sie Anwenden, um Ihre Änderungen zu speichern. Die Kennwortrichtlinien-Konfiguration wird auf der Profil bearbeiten Seite unter Konfigurationen angezeigt. 7. Um Einschränkungen zum Profil hinzuzufügen, klicken Sie Konfiguration hinzufügen, wählen Sie Einschränkungen und klicken Sie Weiter. 8. Wählen Sie auf der Seite Einschränkungen die gewünschten Einschränkungen aus. Manche Einschränkungen erfordern eine bestimmte Version von iOS oder einen bestimmten Gerätetypen. Diese Anforderungen werden rechts neben jeder Einschränkung angezeigt. Für eine detaillierte Beschreibung aller Einstellungen klicken Sie Hilfe in der Navigationsleiste. 9. Klicken Sie Anwenden, um Ihre Änderungen zu speichern. Die Einschränkungen-Konfiguration wird auf der Profil bearbeiten Seite unter Konfigurationen angezeigt. 10. Klicken Sie auf der Seite Profil bearbeiten auf Speichern, um das Profil zu speichern. Das Profil wird auf der Seite Profile und Richtlinien angezeigt und steht nun für den Transfer auf iOS-Geräte zur Verfügung. Erstellen Sie, falls erforderlich, weitere Profile für Exchange ActiveSync-Einstellungen, VPN-Einstellungen, WLAN-Einstellungen und für die Installation von Root- und Client-Zertifikaten. 15.2 Erstellen von Auftragspaketen für Apple iOS-Geräte 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete > Apple iOS und klicken Sie anschließend auf Auftragspaket anlegen. 28 Kurzanleitung 2. Konfigurieren Sie auf der Seite Auftragspaket bearbeiten die folgenden Einstellungen: a) Name: Geben Sie einen Namen für das Auftragspaket ein. Wir empfehlen, für Auftragspakete, die während der Registrierung und Ersteinrichtung über das Self Service Portal verwendet werden, den Namen iOS SSP Auftragspaket zu verwenden. b) Version: Optional können Sie eine Versionsnummer für das Auftragspaket eingeben. c) Beschreibung: Geben Sie eine Beschreibung für das Auftragspaket ein, zum Beispiel Basis-SSP-Auftragspaket. d) Auswählbar als Compliance-Aktion: Wenn Sie diese Option wählen, kann das Auftragspaket auf ein Mobilgerät geladen werden, wenn eine Compliance-Richtlinie verletzt wird. Siehe Compliance-Richtlinie erstellen (Seite 24). 3. Klicken Sie Anzeigen neben Betriebssysteme und wählen Sie die Version des Betriebssystems, für die das Auftragspaket gilt. Wählen Sie alle für dieses Auftragspaket relevanten iOS-Versionen aus. Die Liste enthält die iOS-Versionen der Geräte, die bereits im System registriert sind, sowie eine generische Version iOS, die alle unterstützten iOS-Versionen beinhaltet. 4. Klicken Sie Auftrag anlegen, wählen Sie Gerät einrichten und geben Sie einen Namen für den Auftrag ein. Klicken Sie Anwenden um den Auftrag zu erstellen. Der hier eingegebene Name wird im Self Service Portal angezeigt während der Auftrag verarbeitet wird. 5. Klicken Sie erneut Auftrag anlegen und wählen Sie Profil installieren oder Richtlinie zuordnen. Geben Sie dem Auftrag einen aussagekräftigen Namen, zum Beispiel Kennwortrichtlinien installieren - Profil, und wählen Sie das Profil, das Sie erstellt haben (iOS-SSP-Profil, so Sie den vorgeschlagenen Namen verwendet haben). Klicken Sie Anwenden um den Auftrag zu erstellen. 6. Wenn Sie Profile mit Einstellungen für Exchange ActiveSync, VPN oder WLAN konfiguriert haben, wiederholen Sie diesen Schritt für jedes Profil. 7. Wenn nötig, fügen Sie weitere Aufgaben zu diesem Auftragspaket hinzu. Tipp: Mit den Sortier-Pfeilsymbolen auf der rechten Seite der Aufträge Liste können Sie die Installationsreihenfolge für die Aufträge festlegen. 8. Wenn Sie alle erforderlichen Aufträge zum Auftragspaket hinzugefügt haben, klicken Sie auf die Speichern Schaltfläche auf der Auftragspaket bearbeiten Seite. Das Auftragspaket wird auf der Seite Auftragspakete angezeigt und steht nun für den Transfer auf iOS-Geräte zur Verfügung. 29 Sophos Mobile Control 16 Konfigurieren von Android-Geräten 16.1 Erstellen von Profilen für Android-Geräte In diesem Schritt erstellen Sie ein Profil für die Erstkonfiguration von Android-Geräten. Wir empfehlen, separate Profile für folgende Einstellungen zu erzeugen: ■ Passwortrichtlinien und Einschränkungen ■ Exchange ActiveSync Einstellungen (falls erforderlich) ■ VPN-Einstellungen (falls erforderlich) ■ WLAN-Einstellungen (falls erforderlich) ■ Root- und Client-Zertifikate (falls erforderlich) So erzeugen Sie ein Android Geräteprofil für Passwortrichtlinien und Einschränkungen: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien > Android und klicken Sie anschließend auf Anlegen > Geräteprofil. 2. Konfigurieren Sie auf der Seite Profil oder Richtlinie bearbeiten 3. die folgenden Einstellungen: a) Name: Geben Sie einen Namen für das Profil ein. Wir empfehlen, für Profile, die während der Registrierung über das Self Service Portal verwendet werden, den Namen Android SSP-Profil zu verwenden. b) Version: Optional können Sie eine Versionsnummer für das Profil eingeben. c) Beschreibung: Optional können Sie eine Beschreibung für das Profil eingeben, zum Beispiel Basisprofil. 4. Klicken Sie Anzeigen neben Betriebssysteme und wählen Sie die Version des Betriebssystems, für die das Profil gilt. Wählen Sie für dieses Profil alle relevanten Android-Versionen aus. Die Liste enthält die Android-Versionen der Geräte, die bereits im System registriert sind, sowie eine generische Version Android, die alle unterstützten Android-Versionen beinhaltet. 5. Um Passwortrichtlinien zum Profil hinzuzufügen, klicken Sie Konfiguration hinzufügen, wählen Sie Kennwortrichtlinien und klicken Sie Weiter. Die Seite Kennwortrichtlinien wird geöffnet. 6. Wählen Sie unter Kennworttyp die Art des Kennworts aus, das Sie definieren möchten (zum Beispiel Komplex). 7. Konfigurieren Sie die erforderlichen Einstellungen. Die verfügbaren Einstellungen hängen vom gewählten Kennworttyp ab. Für eine detaillierte Beschreibung aller Einstellungen klicken Sie Hilfe in der Navigationsleiste. 8. Klicken Sie Anwenden, um Ihre Änderungen zu speichern. Die Kennwortrichtlinien-Konfiguration wird auf der Profil bearbeiten Seite unter Konfigurationen angezeigt. 9. Um Einschränkungen zum Profil hinzuzufügen, klicken Sie Konfiguration hinzufügen, wählen Sie Einschränkungen und klicken Sie Weiter. 30 Kurzanleitung 10. Wählen Sie auf der Seite Einschränkungen die gewünschten Einschränkungen aus. Manche Einschränkungen erfordern eine bestimmte Version von Android oder einen bestimmten Gerätetypen. Diese Anforderungen werden rechts neben jeder Einschränkung angezeigt. Für eine detaillierte Beschreibung aller Einstellungen klicken Sie Hilfe in der Navigationsleiste. 11. Klicken Sie Anwenden, um Ihre Änderungen zu speichern. Die Einschränkungen-Konfiguration wird auf der Profil bearbeiten Seite unter Konfigurationen angezeigt. 12. Klicken Sie auf der Seite Profil bearbeiten auf Speichern, um das Profil zu speichern. Das Profil wird auf der Seite Profile und Richtlinien angezeigt und steht nun für den Transfer auf Android-Geräte zur Verfügung. Erstellen Sie, falls erforderlich, weitere Profile für Exchange ActiveSync-Einstellungen, VPN-Einstellungen, WLAN-Einstellungen und für die Installation von Root- und Client-Zertifikaten. 16.2 Erstellen von Auftragspaketen für Android-Geräte 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete > Android und klicken Sie anschließend auf Auftragspaket anlegen. 2. Konfigurieren Sie auf der Seite Auftragspaket bearbeiten 3. die folgenden Einstellungen: a) Name: Geben Sie einen Namen für das Auftragspaket ein. Wir empfehlen, für Auftragspakete, die während der Registrierung und Ersteinrichtung über das Self Service Portal verwendet werden, den Namen Android SSP Auftragspaket zu verwenden. b) Version: Optional können Sie eine Versionsnummer für das Auftragspaket eingeben. c) Beschreibung: Geben Sie eine Beschreibung für das Auftragspaket ein, zum Beispiel Basis-SSP-Auftragspaket. d) Auswählbar als Compliance-Aktion: Wenn Sie diese Option wählen, kann das Auftragspaket auf ein Mobilgerät geladen werden, wenn eine Compliance-Richtlinie verletzt wird. Siehe Compliance-Richtlinie erstellen (Seite 24). 4. Klicken Sie Anzeigen neben Betriebssysteme und wählen Sie die Version des Betriebssystems, für die das Auftragspaket gilt. Wählen Sie alle für dieses Auftragspaket relevanten Android-Versionen aus. Die Liste enthält die Android-Versionen der Geräte, die bereits im System registriert sind, sowie eine generische Version Android, die alle unterstützten Android-Versionen beinhaltet. 5. Klicken Sie Auftrag anlegen, wählen Sie Gerät einrichten und geben Sie einen Namen für den Auftrag ein. Klicken Sie Anwenden um den Auftrag zu erstellen. Der hier eingegebene Name wird im Self Service Portal angezeigt während der Auftrag verarbeitet wird. 6. Klicken Sie erneut Auftrag anlegen und wählen Sie Profil installieren oder Richtlinie zuordnen. Geben Sie dem Auftrag einen aussagekräftigen Namen, zum Beispiel Kennwortrichtlinien installieren - Profil, und wählen Sie das Profil, das Sie erstellt haben (Android-SSP-Profil, so Sie den vorgeschlagenen Namen verwendet haben). Klicken Sie Anwenden um den Auftrag zu erstellen. 31 Sophos Mobile Control 7. Wenn Sie Profile mit Einstellungen für Exchange ActiveSync, VPN oder WLAN konfiguriert haben, wiederholen Sie diesen Schritt für jedes Profil. 8. Wenn nötig, fügen Sie weitere Aufgaben zu diesem Auftragspaket hinzu. Tipp: Mit den Sortier-Pfeilsymbolen auf der rechten Seite der Aufträge Liste können Sie die Installationsreihenfolge für die Aufträge festlegen. 9. Wenn Sie alle erforderlichen Aufträge zum Auftragspaket hinzugefügt haben, klicken Sie auf die Speichern Schaltfläche auf der Auftragspaket bearbeiten Seite. Das Auftragspaket wird auf der Seite Auftragspakete angezeigt und steht nun für den Transfer auf Android-Geräte zur Verfügung. 32 Kurzanleitung 17 Aktualisieren der Self Service Portal Einstellungen Nachdem Sie die Auftragspakete erstellt haben, die transferiert werden sollen, wenn Benutzer ihre Geräte mit dem Sophos Mobile Control Self Service Portal registrieren, müssen Sie die definierten Self Service Portal Einstellungen durch die erforderlichen Gruppeneinstellungen aktualisieren. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Self Service Portal und klicken Sie dann auf die Registerkarte Gruppeneinstellungen. 2. Klicken Sie auf die Gruppeneinstellung Default. Das Fenster Gruppeneinstellungen bearbeiten wird geöffnet. 3. Wählen Sie im Auswahlfeld Auftragspaket/Profil jene Aufgabenpakete aus, die Sie für Apple iOS- und Android-Geräte erstellt haben. 4. Setzen Sie das Kontrollkästchen für die Gerätetypen auf Aktiv, die im Self Service Portal zur Verfügung stehen sollen. 5. Wählen Sie im Auswahlfeld Einfügen in Gerätegruppe jene Gruppe aus, der Geräte bei der Registrierung über das Self Service Portal zugeordnet werden. 6. Klicken Sie Übernehmen. 7. Klicken Sie auf der Registerkarte Gruppeneinstellungen auf Speichern. 33 Sophos Mobile Control 18 Erstellen eines Self Service Portal Test-Benutzers Damit Sie die Provisionierung über das Self Service Portal testen können, erstellen Sie für sich ein Self Service Portal Benutzerkonto. Sie verwenden dieses Konto um sich am Self Service Portal anzumelden und die Geräteregistrierung zu testen. Hinweis: Dieser Vorgang setzt voraus, dass der Kunde mittels internem Benutzermanagement erzeugt wurde; siehe Kunden erstellen (Seite 14). Informationen zur externen Benutzerverwaltung finden Sie im Sophos Mobile Control Super Administrator Guide (Englisch). So erzeugen Sie einen Testbenutzer für das Self Service Portal: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzerverwaltung und dann auf Benutzer anlegen. 2. Konfigurieren Sie die erforderlichen Details. Stellen Sie sicher, dass das KontrollkästchenWillkommens-E-Mail senden ausgewählt ist. 3. Klicken Sie auf Speichern. Der Benutzer wird zur Liste der Self Service Portal-Benutzer hinzugefügt und ein Willkommens-E-Mail wird an die Adresse, die Sie in den Details definiert haben, verschickt. 34 Kurzanleitung 19 Testen der Geräteregistrierung über das Self Service Portal Wir empfehlen, vor dem Rollout der Benutzung des Self Service Portal an Ihre Benutzer die Geräteregistrierung über das Self Service Portal zu testen. Melden Sie sich am Self Service Portal mit dem Testbenutzer an, den Sie in Erstellen eines Self Service Portal Test-Benutzers (Seite 34) erstellt haben, und führen Sie testweise Registrierungen für alle mobilen Plattformen durch, die Sie mit Sophos Mobile Control verwalten möchten. Weitere Informationen zur Benutzung des Self Service Portal finden Sie in der Sophos Mobile Control Benutzerhilfe. 35 Sophos Mobile Control 20 Benutzer in Sophos Mobile Control importieren Nachdem Sie die Geräteregistrierung über das Self Service Portal getestet haben, können Sie Ihre Benutzerliste in Sophos Mobile Control importieren. Der Import von Benutzern ist nur bei interner Benutzerverwaltung relevant. Bei externer Benutzerverwaltung können sich alle Benutzer, die einer bestimmten LDAP-Gruppe zugeordnet sind, am System anmelden. Informationen zur externen Benutzerverwaltung finden Sie im Sophos Mobile Control Super Administrator Guide (Englisch). So importieren Sie Benutzer aus einer Liste mit Zugangsdaten: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzerverwaltung und dann auf Benutzer importieren. 2. Um Benutzer in Sophos Mobile Control zu importieren, müssen Sie die Benutzerkontendaten als Textdatei im CSV-Format (Comma Separated Values) erstellen. Wenn Sie noch keine CSV-Datei mit Benutzerkontendaten haben, klicken Sie auf den Link Beispiel-CSV um eine Beispiel-Datei mit der erforderlichen Datenstruktur herunterzuladen. 3. Nachdem Sie die CSV-Datei mit den Benutzerkontendaten erstellt haben, klicken Sie Datei hochladen und wählen Sie sie aus. Die Einträge werden von der Datei eingelesen und werden auf der Seite Benutzer importieren angezeigt. 4. Wenn die Daten nicht korrekt oder inkonsistent formatiert sind, kann die gesamte Datei nicht importiert werden. Folgen Sie in diesem Fall den Fehlermeldungen, die neben den betroffenen Benutzereinträgen angezeigt werden, korrigieren Sie die CSV-Datei und laden Sie sie erneut hoch. 5. Wenn alle Benutzereinträge ohne Fehler eingelesen wurden, stellen Sie sicher, dass das Kontrollkästchen Willkommens-E-Mail senden ausgewählt ist. 6. Klicken Sie Fertigstellen, um die Benutzerkonten anzulegen. Die Benutzer werden importiert und in der Benutzer anzeigen Ansicht angezeigt. Per E-Mail erhalten sie ihre Anmeldeinformationen für das Self Service Portal. 36 Kurzanleitung 21 Verwenden Sie den Gerät-Registrierungs-Assistenten um neue Geräte zuzuordnen und zu registrieren. Mit dem Gerät-Registrierungs-Assistenten können Sie ganz einfach neue Geräte registrieren. Er führt Sie durch die folgenden Arbeitsschritte: ■ Neues Gerät zu Sophos Mobile Control hinzufügen. ■ Gerät einem Benutzer zuordnen (optional). ■ Gerät registrieren. ■ Übermitteln Sie ein Registrierungs-Auftragspaket an das Gerät (optional). So starten Sie den Gerät-Registrierungs-Assistenten: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und dann auf Registrierungs-Assistent. Tipp: Alternativ können Sie den Assistenten auch über das Dashboard starten indem Sie das Gerät hinzufügen Widget klicken. 2. Auf der Seite Suchparameter für Benutzer eingeben können Sie entweder nach einem Benutzer suchen, dem das Gerät zugeordnet werden soll, oder die Benutzerzuordnung überspringen um ein Gerät vorerst ohne Benutzerzuordnung zu registrieren. Klicken Sie Weiter um fortzufahren. 3. Wenn Sie Suchparameter eingegeben haben, zeigt der Assistent eine Liste passender Benutzer an. Wählen Sie den gewünschten Benutzer aus und klicken Sie auf Weiter. 37 Sophos Mobile Control 4. Konfigurieren Sie auf der Seite Gerätedetails die folgenden Einstellungen: Option Beschreibung Plattform Das Betriebssystem des Geräts. Sie können nur eine Plattform auswählen, die für den Kunden, an den Sie angemeldet sind, aktiviert ist. Name Ein eindeutiger Name, unter dem das Gerät in Sophos Mobile Control verwaltet werden soll. Beschreibung Eine optionale Beschreibung des Geräts. Telefonnummer Eine optionale Telefonnummer. Geben Sie die Telefonnummer in internationalem Format an, zum Beispiel +491701234567. E-Mail-Adresse Die E-Mail-Adresse, an die die Registrierungsanleitung gesendet wird. Besitzer Wählen Sie, ob es sich um ein Firmengerät oder um ein Privates Gerät handelt. Gerätegruppe Wählen Sie die Gerätegruppe, zu der das Gerät hinzugefügt werden soll. Wenn Sie noch keine Gerätegruppe erstellt haben, können Sie die Gerätegruppe Default wählen, die immer verfügbar ist. Wenn Sie fertig sind, klicken Sie auf Weiter. 5. Wählen Sie auf der Seite Paketauswahl ein Auftragspaket, das nach der Registrierung an das Gerät übermittelt werden soll, oder wählen Sie Nur Gerät registrieren um das Gerät zu registrieren ohne ein Paket zu senden. Wenn Sie fertig sind, klicken Sie auf Weiter. Damit wird das Gerät zu Sophos Mobile Control hinzugefügt. 6. Folgen Sie den Anweisungen auf der Seite Registrierung um die Sophos Mobile Control App auf dem Gerät zu installieren und die Registrierung abzuschließen. 7. War die Registrierung erfolgreich, klicken Sie Fertigstellen um den Assistenten zu schließen. 38 Kurzanleitung 22 Glossar Auftragspaket Ein Paket, das Sie zum Bündeln mehrerer Aufträge für Mobilgeräte in einer Transaktion im Web-Portal erstellen können. Sie können alle Aufträge bündeln, die zur vollständigen Bereitstellung eines Geräts notwendig sind. Endbenutzer Der Endbenutzer des Geräts. Ersteinrichtung Der Vorgang der Ausstattung von Geräten mit Sophos Mobile Control. Gerät Das Mobilgerät, das verwaltet werden soll (zum Beispiel Smartphone oder Tablet). Kunde Der Mandant, der Geräte verwaltet. Registrierung Der Vorgang der Registrierung von Geräten mit Sophos Mobile Control. Self Service Portal (SSP) Die Sophos Mobile Control Web-Benutzeroberfläche, über die Endbenutzer ihre eigenen Geräte bereitstellen und andere Aufgaben ausführen können. Hierzu ist keine Unterstützung durch das Helpdesk erforderlich. SMSec Abkürzung für Sophos Mobile Security, die in der Benutzeroberfläche von Sophos Mobile Control verwendet wird. Sophos Mobile Control Client Die Sophos Mobile Control Client Komponente, die auf dem Gerät installiert ist. Sophos Mobile Security Sicherheits-App für Android-Mobiltelefone und -Tablets. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt eine SMC Advanced-Lizenz ist verfügbar und im Sophos Mobile Control Web-Portal aktiviert. Sophos Secure Email Eine App für Geräte mit Apple iOS oder Android, die eine geschützte Arbeitsumgebung für die Verwaltung Ihrer E-Mails, Kontakte und Kalender bereitstellt. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt eine SMC Advanced-Lizenz ist verfügbar und im Sophos Mobile Control Web-Portal aktiviert. Sophos Secure Workspace Eine Verschlüsselungs-App für Smartphones und Tablets mit Apple iOS oder Android. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt eine SMC Advanced-Lizenz ist verfügbar und im Sophos Mobile Control Web-Portal aktiviert. Web-Portal Die Web-Oberfläche des Servers, die zur Verwaltung der Geräte benutzt wird. 39 Sophos Mobile Control 23 Technischer Support Technischen Support zu Sophos Produkten können Sie wie folgt abrufen: 40 ■ Rufen Sie die SophosTalk Community unter community.sophos.com/ auf und suchen Sie nach Benutzern mit dem gleichen Problem. ■ Durchsuchen Sie die Sophos Support Knowledgebase unter http://www.sophos.com/de-de.aspx. ■ Laden Sie die Produktdokumentation herunter unter www.sophos.com/de-de/support/documentation.aspx. ■ Öffnen Sie ein Ticket bei unserem Support Team unter https://secure2.sophos.com/de-de/support/contact-support/support-query.aspx. Kurzanleitung 24 Rechtliche Hinweise Copyright © 2011 - 2015 Sophos Ltd. Alle Rechte vorbehalten. Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers. Sophos ist ein eingetragenes Warenzeichen von Sophos Limited. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber. 41