Windows 10 Mobile und Verwaltung mobiler Geräte
Dieses Handbuch enthält eine Übersicht über die Technologien zur Verwaltung mobiler Geräte und Apps im Windows 10 Mobile-Betriebssystem. Hier erfahren Sie, wie Systeme zur Verwaltung mobiler Geräte (Mobile Device Management, MDM) mithilfe des integrierten Geräteverwaltungsclients Smartphones und kleine Tablets unter Windows 10 Mobile bereitstellen, konfigurieren, verwalten und unterstützen.
Bring Your Own Device (BYOD; also persönliche Geräte) und Unternehmensgeräte zählen zu den zentralen Szenarien für den Einsatz der MDM-Funktionen von Windows 10 Mobile. Das Betriebssystem bietet einen flexiblen Ansatz für die Registrierung von Geräten bei Verzeichnisdiensten und MDM-Systemen, und IT-Organisationen können umfassende Gerätekonfigurationsprofile auf der Grundlage ihrer Anforderungen in puncto Steuerung und Schutz von mobilen Geschäftsdaten bereitstellen.
Neben umfassenderen restriktiven Konfigurationseinstellungen als Windows Phone 8.1 bietet Windows 10 Mobile auch Funktionen zum Bereitstellen und Verwalten von Apps, die auf der universellen Windows-Plattform (UWP) basieren. Unternehmen können Apps direkt über den Windows Store oder über ihr eigenes MDM-System verteilen. Auf die gleiche Weise können auch benutzerdefinierte branchenspezifische Apps gesteuert und verteilt werden.
Übersicht
Benutzer in Organisationen sind zunehmend auf mobile Geräte angewiesen. Smartphones und Tablets bringen jedoch neue, ungewohnte Herausforderungen für IT-Abteilungen mit sich. Die IT muss mobile Geräte und Apps schnell bereitstellen und verwalten können, um das Unternehmen zu unterstützen. Gleichzeitig müssen sie den wachsenden Anforderungen beim Schutz der Unternehmensdaten Rechnung tragen, die sich durch die Entwicklung gesetzlicher Regelungen und die Entwicklungen im Bereich der Internetkriminalität ergeben. Die IT muss die Sicherheit der Apps und Daten auf diesen mobilen Geräten gewährleisten. Das gilt insbesondere für persönliche Geräte. Mit seinem stabilen, flexiblen und integrierten MDM-Client unterstützt Windows 10 Mobile Organisationen dabei, diese Herausforderungen zu meistern. Diesen Client können IT-Abteilungen mit dem MDM-System ihrer Wahl verwalten.
Integrierter MDM-Client
Der integrierte MDM-Client ist in allen Editionen des Windows 10-Betriebssystem enthalten – einschließlich Desktop, Mobile und IoT (Internet of Things, Internet der Dinge). Der Client bietet eine zentrale Oberfläche, über die Sie jedes beliebige Gerät verwalten können, das Windows 10 verwendet. Der Client hat zwei wichtige Funktionen: Geräteregistrierung bei einem MDM System und Geräteverwaltung.
Geräteregistrierung. Benutzer können sich beim MDM-System registrieren. Unter Windows 10 kann ein Benutzer ein Gerät gleichzeitig bei Microsoft Azure Active Directory (Azure AD) und in einem MDM-System registrieren. Dadurch kann das System sowohl das Gerät als auch die darauf ausgeführten Apps und die darauf befindlichen vertraulichen Daten verwalten. Durch die Registrierung wird die Verwaltungsstelle für das Gerät festgelegt. Der Umstand, dass immer nur eine Verwaltungsstelle (oder MDM-Registrierung) vorhanden sein kann, trägt zur Verhinderung nicht autorisierter Zugriffe auf Geräte bei und gewährleistet deren Stabilität und Zuverlässigkeit.
Geräteverwaltung. Über den MDM-Client kann das MDM-System Richtlinieneinstellungen konfigurieren, Apps und Updates bereitstellen und andere Verwaltungsaufgaben (wie etwa die Remotezurücksetzung des Geräts) durchführen. Das MDM-System sendet Konfigurationsanforderungen und sammelt Bestandsdaten über den MDM-Client. Der Client nutzt Konfigurationsdienstanbieter (Configuration Service Providers, CSPs), um Einstellungen zu konfigurieren und zu erfassen. Bei einem CSP handelt es sich um eine Schnittstelle zum Lesen, Festlegen, Ändern und Löschen von Konfigurationseinstellungen auf dem Gerät. Diese Einstellungen sind mit Registrierungsschlüsseln oder Dateien verknüpft. (Die Sicherheitsarchitektur von Windows 10 Mobile verhindert den direkten Zugriff auf Registrierungseinstellungen und Dateien des Betriebssystems. Weitere Informationen finden Sie im Sicherheitsleitfaden für Windows 10 Mobile.)
Der MDM-Client ist ein wesentlicher Bestandteil von Windows 10 Mobile. Daher besteht keine Notwendigkeit für eine zusätzliche, benutzerdefinierte MDM-App, um das Gerät zu registrieren oder dessen Verwaltung durch ein MDM-System zu ermöglichen. Alle MDM-Systeme haben den gleichen Zugriff auf die MDM-Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) von Windows 10 Mobile. Dadurch können Sie frei wählen, ob Sie Geräte unter Windows 10 Mobile mit Microsoft Intune oder mit dem MDM-Produkt eines Drittanbieters verwalten möchten. Weitere Informationen zu den Geräteverwaltungs-APIs von Windows 10 Mobile finden Sie unter mobile Geräteverwaltung.
Windows 10 Mobile-Editionen
Jedes Gerät unter Windows 10 Mobile verfügt über alle unternehmensorientierten Sicherheits- und Verwaltungsfunktionen, die der MDM-Client für mobile Geräte bietet. Die ebenfalls von Microsoft angebotene Enterprise-Edition von Windows 10 Mobile enthält drei zusätzliche Funktionen. Die folgenden Funktionen können durch Bereitstellen einer Lizenzdatei ohne Neuinstallation des Betriebssystems aktiviert werden:
**Möglichkeit zum Verschieben von Softwareupdates.**Windows 10 Mobile ruft Softwareupdates direkt von Windows Update ab. Die Updates können vor der Bereitstellung nicht überprüft werden. Windows 10 Mobile Enterprise ermöglicht dagegen die Überprüfung der Updates, bevor diese bereitgestellt werden.
Bereitstellung einer unbegrenzten Anzahl selbstsignierter branchenspezifische Apps auf einem einzelnen Gerät. Wenn Sie branchenspezifische Apps mithilfe eines MDM-Systems direkt auf Geräten bereitstellen möchten, müssen die Softwarepakete kryptografisch mit einem von der Zertifizierungsstelle (ZS) Ihres Unternehmens generierten Codesignaturzertifikat signiert werden. Auf einem Gerät unter Windows 10 Mobile können maximal 20 selbstsignierte branchenspezifische Apps bereitgestellt werden. Für Geräte unter Windows 10 Mobile Enterprise gilt diese Begrenzung nicht.
Telemetrie-Sicherheitsstufe. Die Telemetrie-Sicherheitsstufe konfiguriert das Betriebssystem so, dass nur die Telemetriedaten gesammelt werden, die zur Gewährleistung der Gerätesicherheit erforderlich sind.
Hinweis
Ihre Organisation kann Branchen-Apps bei Bedarf mit einem von Verisign erworbenen Codesignaturzertifikat signieren oder Apps über den Windows Store für Unternehmen beziehen. Bei beiden Methoden können Sie mit Ihrem MDM-System mehr als 20 Apps an ein einzelnes Gerät verteilen, ohne Windows 10 Mobile Enterprise auf dem Gerät zu aktivieren.
Wenn Sie Windows 10 Mobile Enterprise auf einem beliebigen Gerät unter Windows 10 Mobile aktivieren möchten, verwenden Sie das MDM-System Ihres Unternehmens oder ein Bereitstellungspaket, um dem Gerät eine Lizenz hinzuzufügen. Eine Windows 10 Mobile Enterprise-Lizenz kann über das Supportportal für Unternehmen heruntergeladen werden.
Lebenszyklusverwaltung
Windows 10 Mobile unterstützt eine End-to-End-Lebenszyklusverwaltung für Geräte. Dadurch haben Unternehmen die Kontrolle über ihre Geräte, Daten und Apps. Umfassende MDM-Systeme verwenden den integrierten MDM-Client zur Verwaltung des gesamten Gerätelebenszyklus, wie in Abbildung 1 zu sehen. Im restlichen Teil dieses Handbuchs werden die Verwaltungsfunktionen für mobile Geräte und Apps in den einzelnen Lebenszyklusphasen beschrieben, und Sie erfahren, wie MDM-Systeme bestimmte Features verwenden.
.png "Abbildung 1")
Abbildung 1. Lebenszyklus der Geräteverwaltung
Gerätebereitstellung
Die Gerätebereitstellung umfasst die erstmalige Registrierung und Konfiguration des Geräts – einschließlich Registrierung bei einem MDM-System. Manchmal werden Apps von Unternehmen vorinstalliert. Die wichtigsten Fragen bei der Gerätebereitstellung und der Einrichtung von Kontrollen sind: „Wem gehört das Gerät?“ und „Wie wird das Gerät vom Benutzer verwendet?“. In diesem Handbuch werden zwei Szenarien behandelt:
Unternehmen ermöglichen Benutzern die Personalisierung ihrer Geräte, da die Geräte den Benutzern gehören oder die Unternehmensrichtlinie keine strenge Kontrolle erfordert (definiert als persönliche Geräte in diesem Handbuch).
Unternehmen verhindern die Personalisierung von Benutzergeräten oder schränken die Personalisierung ein – üblicherweise, da die Geräte der Organisation gehören und hohe Sicherheitsanforderungen erfüllt werden müssen (definiert als Unternehmensgeräte in diesem Handbuch).
Häufig können Mitarbeiter Geräte aus einer Liste mit unterstützten Modellen auswählen, oder Unternehmen stellen vorkonfigurierte Geräte mit einer Basiskonfiguration bereit.
Für Unternehmensgeräte empfiehlt Microsoft die Einbindung über Azure AD sowie die MDM-Registrierung und -Verwaltung. Für persönliche Geräte wird die Azure AD-Registrierung sowie die MDM-Registrierung und -Verwaltung empfohlen.
Bereitstellungsszenarien
Die meisten Organisationen unterstützen sowohl persönliche Geräte als auch Unternehmensgeräte. Die Infrastruktur für diese Szenarien ist ähnlich, Bereitstellungsprozess und Konfigurationsrichtlinien unterscheiden sich jedoch. Tabelle 1 enthält Informationen zu Merkmalen der Szenarien für persönliche Geräte und Unternehmensgeräte. Die Aktivierung eines Geräts mit Organisationsidentität steht nur in Windows 10 Mobile zur Verfügung.
Tabelle 1. Szenariomerkmale für persönliche Geräte und Unternehmensgeräte
| Persönliche Geräte | Unternehmensgeräte | |
| Besitz | Benutzer | Organisation |
| Hauptnutzung | Privat | Beruflich |
| Bereitstellung | Die Hauptidentität auf dem Gerät ist persönliche Identität. Ein Microsoft-Konto ist die Standardoption für Windows 10 Mobile. | Die Hauptidentität auf dem Gerät ist eine Unternehmensidentität. Ein Azure AD-Konto ist die Standardoption für Windows 10 Mobile. |
Identitätsverwaltung
Benutzer können ein Gerät nur mit einem einzelnen Konto aktivieren. Daher muss Ihre Organisation unbedingt steuern, welches Konto zuerst aktiviert wird. Die Wahl des Kontos bestimmt, wer das Gerät kontrolliert und welche Verwaltungsfunktionen Ihnen zur Verfügung stehen. Die folgende Liste gibt Aufschluss über die Auswirkungen der Benutzeridentität auf die Verwaltung. (Tabelle 2 enthält eine Zusammenfassung dieser Aspekte.)
Persönliche Identität. In diesem Szenario aktivieren Mitarbeiter das Gerät mit ihrem Microsoft-Konto. Anschließend registrieren sie ihr Gerät mithilfe ihres Azure AD-Kontos (Organisationsidentität) bei Azure AD und registrieren das Gerät außerdem bei der MDM-Lösung des Unternehmens. Sie können zwar Richtlinien zum Schutz und zur Kontrolle von Unternehmens-Apps und -Daten auf den Geräten anwenden und so dem Verlust von geistigem Eigentum vorbeugen, die Benutzer haben jedoch uneingeschränkte Kontrolle über persönliche Aktivitäten (etwa das Herunterladen und Installieren von Apps und Spielen).
Organisationsidentität. In diesem Szenario registrieren Mitarbeiter das Gerät mithilfe ihres Azure AD-Kontos bei Azure AD. Die Registrierung bei der MDM-Lösung der Organisation erfolgt automatisch. In diesem Fall können Unternehmen die private Nutzung von Geräten blockieren. Durch die Initialisierung von Geräten mit einer Organisationsidentität haben Organisationen uneingeschränkte Kontrolle über die Geräte und können eine Personalisierung der Geräte verhindern.
Tabelle 2. Gegenüberstellung von persönlicher Identität und Organisationsidentität
| Persönliche Identität | Unternehmensidentität | |
| Erstes Konto auf dem Gerät | Microsoft-Konto | Azure AD-Konto |
| Anmeldung beim Gerät | Benutzer können sich bei Geräten nicht mit Azure AD-Anmeldeinformationen anmelden. Dies gilt auch, wenn sie die Anmeldeinformationen nach der ursprünglichen Aktivierung mit einem Microsoft-Konto hinzufügen. | Benutzer können Geräte mit einem Azure AD-Konto entsperren. Organisationen können das Hinzufügen einer persönlichen Identität blockieren. |
| Geräteübergreifende Benutzereinstellungen und Daten | Benutzer- und App-Einstellungen stehen dank Roaming über das persönliche OneDrive auf allen Geräten zur Verfügung, die mit der gleichen persönlichen Identität aktiviert wurden. | Windows 10 Mobile unterstützt derzeit kein Roaming von Benutzer- und App-Einstellungen über die Unternehmenscloud. Das Roaming persönlicher Cloudeinstellungen kann blockiert werden. |
| Möglichkeit zur Blockierung der Verwendung einer persönlichen Identität auf dem Gerät | Nein | Ja |
| Grad der Kontrolle | Die Organisation kann äußerst* restriktive Richtlinien für Geräte anwenden, das Microsoft-Konto kann jedoch nicht entfernt werden. Gerätebenutzer können die uneingeschränkte Kontrolle über ihre Geräte zurückerlangen, indem sie die Registrierung bei der MDM-Lösung der Organisation rückgängig machen. Hinweis*MDM-Funktionen auf persönlichen Geräten werden in der Zukunft unter Umständen eingeschränkt. |
Unternehmen können für Geräte nach Belieben restriktive Richtlinien anwenden, die zur Einhaltung von Richtlinienstandards und Vorschriften erforderlich sind, und für den Benutzer das Rückgängigmachen der Geräteregistrierung beim Unternehmen unterbinden. |
Infrastrukturanforderungen
Zur grundlegenden Infrastruktur und den Tools, die zum Bereitstellen und Verwalten von Geräten unter Windows 10 Mobile erforderlich sind, zählen in beiden Geräteszenarien ein Azure AD-Abonnement und ein MDM-System.
Azure AD ist ein cloudbasierter Verzeichnisdienst zur Identitäts- und Zugriffsverwaltung. Dank der Möglichkeit zur Integration in bereits vorhandene lokale Verzeichnisse lässt sich eine Hybridlösung realisieren. Azure AD ist in drei Editionen erhältlich: Free, Basic und Premium. (Weitere Informationen finden Sie unter Azure Active Directory-Editionen.) Die Azure AD-Geräteregistrierung wird von allen Editionen unterstützt. Für die automatische MDM-Registrierung und den bedingten, gerätestatusbasierten Zugriff wird jedoch die Premium Edition benötigt. Organisationen mit Microsoft Office 365 oder Intune verwenden bereits Azure AD.
Hinweis
Die meisten branchenführenden MDM-Anbieter unterstützen bereits die Azure AD-Integration oder arbeiten daran. Die MDM-Anbieter mit Azure AD-Unterstützung finden Sie unter Azure Marketplace.
Benutzer können Geräte unter Windows 10 Mobile ohne Verwendung eines Azure AD-Organisationskontos bei MDM-Systemen von Drittanbietern registrieren. (Intune verwendet standardmäßig Azure AD und enthält eine Lizenz.) Falls Azure AD von Ihrer Organisation nicht verwendet wird, müssen Sie eine persönliche Identität verwenden, um Geräte zu aktivieren und allgemeine Szenarien wie das Herunterladen von Apps aus dem Windows Store zu ermöglichen.
Windows 10 Mobile wird von verschiedenen MDM-Systemen unterstützt. Die meisten unterstützen Bereitstellungsszenarien mit persönlichen Geräten und Unternehmensgeräten. Das von Microsoft angebotene Intune ist Teil der Enterprise Mobility Suite und ein cloudbasiertes MDM-System zur Verwaltung von Remotegeräten. Die Identitätsverwaltung von Intune basiert ebenso wie die Identitätsverwaltung von Office 365 auf Azure AD. Dadurch können die Mitarbeiter bei der Geräteregistrierung die gleichen Anmeldeinformationen verwenden wie bei der Anmeldung bei Office 365. Intune unterstützt auch Geräte unter anderen Betriebssystemen wie iOS und Android und stellt somit eine umfassende MDM-Lösung dar.
Darüber hinaus können Sie Intune in System Center Configuration Manager integrieren und so sämtliche Geräte über eine einzelne Konsole verwalten – ganz gleich, ob in der Cloud oder lokal. Weitere Informationen finden Sie unter Verwalten von mobilen Geräten mit Configuration Manager und Microsoft Intune. Eine Entscheidungshilfe für die Wahl zwischen eigenständiger Intune-Installation und Intune-Integration in Configuration Manager finden Sie unter Wählen zwischen dem eigenständigen Intune oder dem Integrieren von Intune in System Center Configuration Manager.
Windows 10 Mobile wird nicht nur von Intune, sondern auch von anderen MDM-Anbietern unterstützt. Laut Anbieterangabe werden Windows 10 und Windows 10 Mobile derzeit von folgenden MDM-Systemen unterstützt: AirWatch, Citrix, Lightspeed Systems, Matrix42, MobileIron, SAP, SOTI und Symantec.
Alle MDM-Anbieter haben den gleichen Zugriff auf die MDM-APIs von Windows 10. Der Implementierungsumfang dieser APIs hängt vom jeweiligen Anbieter ab. Informationen zum Grad der Unterstützung erhalten Sie von Ihrem bevorzugten MDM-Anbieter.
Hinweis
Anstelle eines umfangreichen MDM-Systems kann für die Verwaltung mobiler Geräte auch Exchange ActiveSync (EAS) verwendet werden. Diese Option wird in diesem Handbuch jedoch nicht behandelt. EAS ist in Microsoft Exchange Server 2010 und höheren Versionen sowie in Office 365 verfügbar.
Darüber hinaus wurde Office 365 von Microsoft kürzlich um Intune-basierte MDM-Funktionen erweitert. Von MDM für Office 365 werden nur mobile Geräte unterstützt (also etwa Geräte unter Windows 10 Mobile, iOS oder Android). MDM für Office 365 bietet einen Teil der Verwaltungsfunktionen von Intune. Hierzu zählen die Remotezurücksetzung eines Geräts, die Blockierung des Zugriffs eines Geräts auf Exchange Server-E-Mails sowie die Konfiguration von Richtlinien (etwa für Kennungsanforderungen). Weitere Informationen zu den Funktionen von MDM für Office 365 finden Sie unter Übersicht der mobilen Geräteverwaltung für Office 365.
Bereitstellung
Die Bereitstellung ist in Windows 10 neu hinzugekommen und nutzt in Windows 10 Mobile den MDM-Client. Sie können ein Laufzeit-Bereitstellungspaket erstellen, um Einstellungen, Profile und Dateiressourcen auf ein Gerät unter Windows 10 anzuwenden.
Verwenden Sie ein Bereitstellungspaket, um Benutzer bei der Registrierung beim MDM-System zu unterstützen. Erstellen Sie hierzu mithilfe des Windows Bildverarbeitungs- und Konfigurations-Designers ein Bereitstellungspaket, und installieren Sie es anschließend auf dem Gerät.
Benutzer können eine Self-Service-MDM-Registrierung für folgende Bereitstellungsszenarien durchführen:
Unternehmensgerät. Auf der Windows-Willkommensseite können Sie den Benutzer dazu auffordern, die Option This device is owned by my organization auszuwählen und das Gerät bei Azure AD und beim MDM-System zu registrieren.
Persönliches Gerät. Der Benutzer aktiviert das Gerät mit einem Microsoft-Konto, kann jedoch dazu aufgefordert werden, das Gerät bei Azure AD und Intune zu registrieren. Dazu muss der Benutzer unter Windows 10 Mobile auf Einstellungen, Konten und anschließend auf Arbeitsplatzzugriff klicken.
Mit Bereitstellungspaketen kann die MDM-Registrierung wie folgt automatisiert werden:
Unternehmensgerät. Sie können ein Bereitstellungspaket erstellen und vor der Geräteübergabe an den Benutzer auf das Unternehmensgerät anwenden. Alternativ können Sie den Benutzer auf der Windows-Willkommensseite zur Anwendung des Pakets auffordern. Nach Anwendung des Bereitstellungspakets wird automatisch der Unternehmenspfad verwendet, und der Benutzer muss das Gerät bei Azure AD und beim MDM-System registrieren.
Persönliches Gerät. Sie können ein Bereitstellungspaket erstellen und für Benutzer verfügbar machen, die ihr persönliches Gerät im Unternehmen registrieren möchten. Der Benutzer wendet das Bereitstellungspaket an, um das Gerät zur weiteren Konfiguration beim MDM-System des Unternehmens zu registrieren. Dazu muss der Benutzer unter Windows 10 Mobile auf Einstellungen, Konten und anschließend auf Bereitstellung klicken.
Verteilen Sie Bereitstellungspakete an Geräte, indem Sie sie an leicht zugänglichen Orten veröffentlichen (beispielsweise als E-Mail-Anlage oder auf einer Webseite). Bereitstellungspakete können kryptografisch signiert oder verschlüsselt und mit einem Kennwort geschützt werden, das der Benutzer vor der Anwendung eingeben muss.
Weitere Informationen zur Erstellung von Bereitstellungspaketen finden Sie unter Erstellen und Anwenden eines Bereitstellungspakets.
Gerätekonfiguration
In den folgenden Abschnitten werden die Gerätekonfigurationsfunktionen des integrierten MDM-Clients von Windows 10 Mobile beschrieben. Dieser Client macht die Funktionen für jedes mit Windows 10 kompatible MDM-System verfügbar. Konfigurierbare Einstellungen:
E-Mail-Konten
Kontobeschränkungen
Einschränkungen für die Gerätesperrung
Hardwareeinschränkungen
Zertifikatverwaltung
WLAN
Proxy
Virtuelles privates Netzwerk (VPN)
Zugriffspunktnamen-Profile
Schutz vor Datenverlust
Speicherverwaltung
Hinweis
Die in diesem Abschnitt beschriebenen MDM-Einstellungen sind zwar alle in Windows 10 Mobile verfügbar, werden jedoch unter Umständen nicht auf der Benutzeroberfläche jedes MDM-Systems angezeigt. Darüber hinaus werden bei den MDM-Systemen unter Umständen abweichende Bezeichnungen verwendet. Weitere Informationen finden Sie in der Dokumentation Ihres MDM-Systems.
E-Mail-Konten
Sie können das MDM-System Ihres Unternehmens zur Verwaltung der E-Mail-Konten des Unternehmens verwenden. Definieren Sie E-Mail-Kontoprofile im MDM-System, und stellen Sie sie anschließend für Geräte bereit. Unabhängig vom Szenario werden diese Einstellungen üblicherweise umgehend nach der Registrierung bereitgestellt.
Diese Funktion kann auch für E-Mail-Systeme mit EAS verwendet werden. Tabelle 3 enthält eine Liste mit Einstellungen, die Sie in EAS-E-Mail-Profilen konfigurieren können.
Tabelle 3. Windows 10 Mobile-Einstellungen für EAS-E-Mail-Profile
| Einstellung | Beschreibung |
|---|---|
| E-Mail-Adresse | Die dem EAS-Konto zugeordnete E-Mail-Adresse. |
| Domäne | Der Domänenname der Exchange Server-Instanz. |
| Kontoname | Ein benutzerfreundlicher Name für das E-Mail-Konto auf dem Gerät. |
| Kennwort | Das Kennwort für das E-Mail-Konto. |
| Servername | Der vom E-Mail-Konto verwendete Servername. |
| Benutzername | Der Benutzername für das E-Mail-Konto. |
| Calendar Age Filter | Das Alter der mit dem Gerät zu synchronisierenden Kalenderelemente (beispielsweise zur Synchronisierung der Kalenderelemente der letzten sieben Tage). |
| Protokollierung | Der Grad der Diagnoseprotokollierung. |
| Mail Body Type | Der Formattyp des E-Mail-Texts: Text, HTML, RTF oder Multipurpose Internet Mail Extensions (MIME) |
| Mail HTML Truncation | Die maximale Größe einer E-Mail im HTML-Format für die Synchronisierung mit dem Gerät. (HTML-E-Mails, die diese Größe überschreiten, werden automatisch gekürzt.) |
| Mail Plain Text Truncation | Die maximale Größe einer Nur-Text-E-Mail für die Synchronisierung mit dem Gerät. (Text-E-Mails, die diese Größe überschreiten, werden automatisch gekürzt.) |
| Zeitplan | Der Zeitplan für die E-Mail-Synchronisierung zwischen der Exchange Server-Instanz und dem Gerät. |
| Use SSL | Legt fest, ob für die Synchronisierung Secure Sockets Layer (SSL) erforderlich ist. |
| Mail Age Filter | Das Alter der mit dem Gerät zu synchronisierenden Nachrichten (beispielsweise zur Synchronisierung der Nachrichten der letzten sieben Tage). |
| Inhaltstypen | Der zu synchronisierende Inhaltstyp (E-Mails, Kontakte, Kalender, Aufgabenelemente und Ähnliches). |
Tabelle 4 enthält eine Liste mit Einstellungen, die Sie in anderen E-Mail-Profilen konfigurieren können.
Tabelle 4. Windows 10 Mobile-Einstellungen für andere e-Mail-Profile
| Einstellung | Beschreibung |
|---|---|
| Benutzeranmeldename | Der Benutzeranmeldename für das E-Mail-Konto. |
| Outgoing authentication required | Gibt an, ob der Ausgangsserver eine Authentifizierung erfordert. |
| Kennwort | Das Kennwort für das Konto im Feld Benutzeranmeldename. |
| Domäne | Der Domänenname für das Konto im Feld Benutzeranmeldename. |
| Days to download | Gibt an, wie viele E-Mails vom Server heruntergeladen werden sollen (in Tagen). |
| Posteingangsserver | Name und Portnummer des Posteingangsservers im Format Servername:Portnummer. (Die Portnummer ist optional.) |
| Send and receive schedule | Der Zeitraum (in Minuten) zwischen der Sende- und Empfangsaktualisierung von E-Mails. |
| IMAP4 maximum attachment size | Die maximale Größe von Nachrichtenanlagen für IMAP4-Konten. |
| Send mail display name | Der Name des Absenders, der in einer gesendeten E-Mail angezeigt wird. |
| Postausgangsserver | Name und Portnummer des Postausgangsservers im Format Servername:Portnummer. (Die Portnummer ist optional.) |
| Antwortadresse | Die Antwort-E-Mail-Adresse des Benutzers. |
| Email service name | Der Name des E-Mail-Diensts. |
| Email service type | Die Art des E-Mail-Diensts (z. B. POP3 oder IMAP4). |
| Maximale Größe für empfangene Nachricht | Die in Bytes angegebene, maximal zulässige Größe von Nachrichten, die vom Posteingangsserver abgerufen werden. (Nachrichten, die diese Größe überschreiten, werden auf die maximal zulässige Größe gekürzt.) |
| Delete message action | Gibt an, wie Nachrichten auf dem Server gelöscht werden. (Nachrichten können entweder endgültig gelöscht oder in den Papierkorbordner verschoben werden.) |
| Use cellular only | Gibt an, ob das Konto nur mit Mobilfunkverbindungen und nicht mit WLAN-Verbindungen verwendet werden soll. |
| Content types to synchronize | Die für die Synchronisierung unterstützten Inhaltstypen (E-Mails, Kontakte, Kalendereinträge). |
| Content synchronization server | Der Name des Inhaltssynchronisierungsservers, falls dieser nicht dem E-Mail-Server entspricht. |
| Calendar synchronization server | Der Name des Kalendersynchronisierungsservers, falls dieser nicht dem E-Mail-Server entspricht. |
| Contact server requires SSL | Gibt an, ob mit dem Kontaktserver eine SSL-Verbindung hergestellt werden muss. |
| Calendar server requires SSL | Gibt an, ob mit dem Kalenderserver eine SSL-Verbindung hergestellt werden muss. |
| Contact items synchronization schedule | Der Zeitplan für die Synchronisierung von Kontaktelementen. |
| Calendar items synchronization schedule | Der Zeitplan für die Synchronisierung von Kalenderelementen. |
| Alternative SMTP email account | Der Anzeigename, der dem alternativen SMTP-E-Mail-Konto eines Benutzers zugeordnet ist. |
| Alternate SMTP domain name | Der Domänenname für das alternative SMTP-E-Mail-Konto des Benutzers. |
| Alternate SMTP account enabled | Gibt an, ob das alternative SMTP-Konto des Benutzers aktiviert ist. |
| Alternate SMTP password | Das Kennwort für das alternative SMTP-Konto des Benutzers. |
| Incoming and outgoing servers require SSL | Eine Gruppe von Eigenschaften, die angeben, ob der Posteingangs- und der Postausgangsserver SSL verwenden. |
Kontobeschränkungen
Auf einem bei Azure AD und im MDM-System registrierten Unternehmensgerät können Sie steuern, ob Benutzer ein Microsoft-Konto verwenden und private E-Mail-Konten hinzufügen können. Tabelle 5 enthält die Kontoverwaltungseinstellungen für Geräte unter Windows 10 Mobile.
Tabelle 5. Kontoverwaltungseinstellungen unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Allow Microsoft Account | Gibt an, ob Benutzer dem Gerät nach der MDM-Registrierung ein Microsoft-Konto hinzufügen und dieses Konto für die Verbindungsauthentifizierung und für Services (etwa den Kauf von Apps im Windows Store) oder für cloudbasierte Verbraucherdienste wie Xbox oder Groove verwenden dürfen. Wenn ein Gerät mit einem Microsoft-Konto aktiviert wurde, kann das MDM-System die Verwendung dieses Kontos nicht blockieren. |
| Allow Adding Non Microsoft Accounts | Gibt an, ob Benutzer nach der MDM-Registrierung E-Mail-Konten hinzufügen dürfen, bei denen es sich nicht um Microsoft-Konten handelt. Bei Verwendung von Allow Microsoft Account können Benutzer auch ein Microsoft-Konto verwenden. |
| Allow “Your Account” | Gibt an, ob Benutzer im Einstellungsbereich Ihre E-Mail-Adresse und Konten die Kontokonfiguration ändern dürfen. |
Einschränkungen für die Gerätesperrung
Nicht verwendete Geräte sollten grundsätzlich gesperrt werden. Microsoft empfiehlt, Geräte unter Windows 10 Mobile zu schützen und eine Sperrrichtlinie für Geräte zu implementieren. Beim Schutz von Apps und Daten auf Geräten hat sich eine kennwort- oder PIN-basierte Gerätesperre bewährt. Windows Hello ist der Name der neuen biometrischen Anmeldeoption, die es Benutzern ermöglicht, kompatible Geräte mittels der von Windows 10 unterstützten Gesichts-, Iris- oder Fingerabdruckerkennung zu entsperren.
Hinweis
Neben den in diesem Abschnitt erläuterten Einschränkungen für die Gerätesperrung unterstützt Windows 10 auch Microsoft Passport for Work, um den Zugriff auf Apps und Dienste ohne Kennwort zu ermöglichen.
Tabelle 6 enthält die MDM-Einstellungen in Windows 10 Mobile, mit denen Sie Einschränkungen für die Gerätesperrung konfigurieren können.
Tabelle 6. Sperreinschränkungen für Geräte unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Device Password Enabled | Gibt an, ob Benutzer ein Kennwort für die Gerätesperrung verwenden müssen. Hinweis
|
| Allow Simple Device Password | Gibt an, ob Benutzer ein einfaches Kennwort (z. B. „1111“ oder „1234“) verwenden können. |
| Alphanumeric Device Password Required | Gibt an, ob Benutzer ein alphanumerisches Kennwort verwenden müssen. Falls ja, wird der Benutzer mit einer vollständigen Gerätetastatur zur Eingabe eines komplexen Kennworts aufgefordert. Andernfalls kann der Benutzer über die Tastatur eine numerische PIN eingeben. |
| Min Device Password Complex Characters | Die Anzahl von Kennwortelementtypen (Groß- und Kleinbuchstaben, Zahlen oder Satzzeichen), die zum Erstellen sicherer Kennwörter erforderlich sind. |
| Device Password Expiration | Die Anzahl von Tagen bis zum Ablauf eines Kennworts. (Gilt nicht für biometrische Daten.) |
| Device Password History | Die Anzahl von Kennwörtern, die von Windows 10 Mobile im Kennwortverlauf gespeichert werden. (Kennwörter aus dem Verlauf können nicht zur Erstellung neuer Kennwörter verwendet werden.) |
| Min Device Password Length | Die Mindestanzahl von Zeichen für die Erstellung neuer Kennwörter. |
| Max Inactivity Time Device Lock | Die maximale Inaktivitätsdauer (in Minuten), nach der Geräte gesperrt werden und ein Kennwort für die Entsperrung erforderlich ist. |
| Allow Idle Return Without Password | Gibt an, ob sich Benutzer erneut authentifizieren müssen, wenn ihre Geräte vor Erreichen der Inaktivitätszeit aus einem Standbymodus reaktiviert werden. |
| Max Device Password Failed Attempts | Gibt die maximal zulässige Anzahl nicht erfolgreicher Authentifizierungsversuche an, nach denen ein Gerät zurückgesetzt wird. (Mit dem Wert „0“ wird die Gerätezurücksetzung deaktiviert.) |
| Screen Timeout While Locked | Die Anzahl von Minuten bis zum Sperrbildschirm-Timeout. (Diese Richtlinie wirkt sich auf die Energieverwaltung des Geräts aus.) |
| Allow Screen Timeout While Locked User Configuration | Gibt an, ob Benutzer das Bildschirmtimeout manuell konfigurieren können, während sich das Gerät auf dem Sperrbildschirm befindet. (Wenn Sie diese Einstellung deaktivieren, wird die Einstellung Screen Timeout While Locked von Windows 10 Mobile ignoriert.) |
Hardwareeinschränkungen
Geräte unter Windows 10 Mobile sind mit neuester Technologie ausgestattet. Hierzu zählen beliebte Hardwarefeatures wie Kameras, GPS-Sensoren, Mikrofone, Lautsprecher, NFC-Funkmodule, Speicherkartensteckplätze, USB-Schnittstellen, Bluetooth-Schnittstellen, Mobilfunkmodule und WLAN. Die Verfügbarkeit dieser Features kann auch mit Hardwareeinschränkungen gesteuert werden. Tabelle 7 enthält die MDM-Einstellungen, die Windows 10 Mobile im Zusammenhang mit der Konfiguration von Hardwareeinschränkungen unterstützt.
Hinweis
Einige diese Hardwareeinschränkungen sorgen für Konnektivität und tragen zum Datenschutz bei. Der Schutz von Unternehmensdaten wird derzeit noch in ausgewählten Kundenevaluierungsprogrammen getestet.
Tabelle 7. Hardwareeinschränkungen unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Allow NFC | Gibt an, ob das NFC-Funkmodul aktiviert ist. |
| Allow USB Connection | Gibt an, ob die USB-Verbindung aktiviert ist. (Diese Einstellung hat keine Auswirkung auf die USB-Ladefunktion.) |
| Allow Bluetooth | Gibt an, ob Benutzer auf ihren Geräten das Bluetooth-Funkmodul aktivieren und verwenden können. |
| Allow Bluetooth Advertising | Gibt an, ob das Gerät als Quelle für Bluetooth-Ankündigungen fungieren und für andere Geräte sichtbar sein kann. |
| Allow Bluetooth Discoverable Mode | Gibt an, ob das Gerät nach anderen Geräten (wie etwa Headsets) suchen kann. |
| Bluetooth Services Allowed List | Die Liste mit Bluetooth-Diensten und -Profilen, mit denen das Gerät eine Verbindung herstellen kann. |
| Set Bluetooth Local Device Name | Der lokale Name des Bluetooth-Geräts. |
| Wi-Fi zulassen | Gibt an, ob das WLAN-Funkmodul aktiviert ist. |
| Allow Auto Connect to Wi-Fi Sense Hotspots | Gibt an, ob das Gerät automatisch eine Verbindung mit WLAN-Hotspots und privaten Netzwerken von Freunden herstellen kann, die über die WLAN-Optimierung freigegeben wurden. |
| Allow Manual Wi-Fi Configuration | Gibt an, ob Benutzer manuell eine Verbindung mit WLAN-Netzwerken herstellen können, die nicht in der Liste konfigurierter WLAN-Netzwerke des MDM-Systems enthalten sind. |
| WLAN Scan Mode | Gibt an, wie aktiv das Gerät nach WLAN-Netzwerken sucht. (Diese Einstellung ist abhängig von der Hardware.) |
| Kamera zulassen | Gibt an, ob die Kamera aktiviert ist. |
| Allow Storage Card | Gibt an, ob der Speicherkartensteckplatz aktiviert ist. |
| Allow Voice Recording | Gibt an, ob der Benutzer das Mikrofon für Sprachaufzeichnungen verwenden kann. |
| Allow Location | Gibt an, ob das Gerät den GPS-Sensor oder andere Standortermittlungsmethoden verwenden kann, um Anwendungen Standortinformationen zur Verfügung zu stellen. |
Zertifikatverwaltung
Der Verwaltung von Zertifikaten kann für Benutzer kompliziert sein. Zertifikate kommen jedoch in verschiedensten Bereichen zum Einsatz – etwa bei der Kontoauthentifizierung, bei der WLAN-Authentifizierung, bei der VPN-Verschlüsselung und bei der SSL-Verschlüsselung von Webinhalten. Benutzer können Zertifikate auf Geräten zwar auch manuell verwalten, es empfiehlt sich jedoch, die Zertifikate während ihres gesamten Lebenszyklus (von der Registrierung über die Verlängerung bis hin zur Sperrung) über Ihr MDM-System zu verwalten. Zertifikate können unter Windows 10 Mobile mithilfe von Zertifikatdateien des Typs SCEP (Simple Certificate Enrollment-Protokoll) oder PFX (Personal Information Exchange) installiert werden. Die Zertifikatverwaltung über SCEP und MDM-Systeme ist für Benutzer vollständig transparent und erfordert keinerlei Benutzereingriff. Dies kommt der Benutzerproduktivität zugute und verringert die Anzahl von Supportanfragen. Ihr MDM-System kann diese Zertifikate nach der Registrierung des Geräts automatisch für den Zertifikatspeicher des Geräts bereitstellen. Tabelle 8 enthält die SCEP-Einstellungen des MDM-Clients unter Windows 10 Mobile.
Tabelle 8. SCEP-Zertifikatregistrierungseinstellungen unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Certificate enrollment server URLs | Die Zertifikatregistrierungsserver. (Bei Angabe mehrerer Server-URLs müssen diese jeweils durch ein Semikolon [;] getrennt werden.) |
| SCEP enrollment challenge | Die Base64-codierte SCEP-Registrierungsabfrage. |
| Extended key use object identifiers | Die Objektbezeichner (Object Identifiers, OIDs) für die erweiterte Schlüsselverwendung. |
| Schlüsselverwendung | Die Schlüsselverwendungsbits für das Zertifikat (im Dezimalformat). |
| Antragstellername | Der Name des Zertifikatantragstellers. |
| Private key storage | Der Speicherort des privaten Schlüssels: Trusted Platform Module (TPM), Software-Schlüsselspeicheranbieter (Key Storage Provider, KSP) oder Microsoft Passport-KSP. |
| Pending retry delay | Gibt an, wie lange das Gerät mit einem erneuten Versuch wartet, wenn der SCEP-Server einen Status vom Typ „Ausstehend“ sendet. |
| Pending retry count | Gibt die Anzahl von Wiederholungen eines Geräts an, wenn der SCEP-Server einen Status vom Typ „Ausstehend“ sendet. |
| Vorlagenname | Die OID des Zertifikatvorlagennamens. |
| Private key length | Die Länge des privaten Schlüssels. (1024, 2048 oder 4096 Bits; Microsoft Passport unterstützt nur die Schlüssellänge 2048.) |
| Certificate hash algorithm | Die Familie von Hashalgorithmen. (SHA-1, SHA-2, SHA-3; mehrere Hashalgorithmusfamilien müssen jeweils durch ein Pluszeichen [+] getrennt werden.) |
| Root CA thumbprint | Der Fingerabdruck der Stammzertifizierungsstelle. |
| Alternative Antragstellernamen | Alternative Antragstellernamen für das Zertifikat. (Mehrere alternative Antragstellernamen müssen jeweils durch ein Semikolon getrennt werden.) |
| Valid period | Die Maßeinheit für den Zeitraum, in dem das Zertifikat als gültig betrachtet wird (also Tage, Monate oder Jahre). |
| Valid period units | Die Anzahl von Zeiteinheiten, für die das Zertifikat als gültig betrachtet wird. (Wird in Kombination mit der Einstellung Valid Period verwendet. Wenn diese Einstellung also beispielsweise auf 3 und Valid Period auf Jahre festgelegt ist, ist das Zertifikat drei Jahre lang gültig.) |
| Custom text to show in Microsoft Passport PIN prompt | Der benutzerdefinierte Text, der bei der Zertifikatregistrierung in der PIN-Anforderung von Microsoft Passport angezeigt werden soll. |
| Fingerabdruck | Der aktuelle Zertifikatfingerabdruck (bei erfolgreicher Zertifikatregistrierung). |
Neben der SCEP-Zertifikatverwaltung unterstützt Windows 10 Mobile auch die Bereitstellung von PFX-Zertifikaten. Tabelle 9 enthält die Einstellungen für die Bereitstellung von PFX-Zertifikaten unter Windows 10 Mobile.
Tabelle 9. PFX-Zertifikatbereitstellungseinstellungen unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Private key storage | Der Speicherort des privaten Schlüssels: das TPM, ein Software-KSP oder der Microsoft Passport-KSP. |
| Microsoft Passport container name | Der Mandantenbezeichner des Azure AD-Mandanten, von dem Microsoft Passport abgeleitet ist. Nur erforderlich, wenn Sie unter Private key storage die Option Microsoft Passport KSP auswählen. |
| PFX packet | Das PFX-Paket mit den exportierten und verschlüsselten Zertifikaten und Schlüsseln im Binary64-Format. |
| PFX packet password | Das Kennwort zum Schutz des unter PFX packet angegebenen PFX-BLOBs. |
| PFX packet password encryption | Gibt an, ob das MDM-System das PFX-Zertifikatkennwort mit dem MDM-Zertifikat verschlüsselt. |
| PFX private key export | Gibt an, ob der private PFX-Schlüssel exportiert werden kann. |
| Fingerabdruck | Der Fingerabdruck des installierten PFX-Zertifikats. |
Verwenden Sie die Einstellung Allow Manual Root Certificate Installation, um zu verhindern, dass Benutzer manuell Zertifikate von Stamm- oder Zwischen-ZS installieren (ganz gleich, ob absichtlich oder aus Versehen).
Hinweis
Zertifikatbezogene Probleme auf Geräten unter Windows 10 Mobile können mithilfe der kostenlosen Zertifikate-App aus dem Windows Store diagnostiziert werden. Diese App für Windows 10 Mobile ermöglicht Folgendes:
Anzeigen einer Zusammenfassung aller persönlichen Zertifikate
Anzeigen der Details einzelner Zertifikate
Anzeigen der verwendeten Zertifikate für die VPN-, WLAN- und E-Mail-Authentifizierung
Ermitteln möglicherweise abgelaufener Zertifikate
Überprüfen des Zertifikatpfads und Vergewissern, dass Sie über die korrekten Zertifikate von Zwischen- und Stamm-ZS verfügen
Anzeigen der im TPM des Geräts gespeicherten Zertifikatschlüssel
WLAN
WLAN-Verbindungen werden bei mobilen Geräten mindestens ebenso intensiv genutzt wie die Datenverbindung. Die meisten WLAN-Netzwerke von Unternehmen erfordern Zertifikate und andere komplexe Informationen, um den Zugriff einzuschränken und zu schützen. Diese erweiterten WLAN-Informationen sind für Benutzer in der Regel nur schwer konfigurierbar. Mit Ihrem MDM-System können Sie die WLAN-Einstellungen dagegen vollständig und ohne Benutzereingriff konfigurieren.
Tabelle 10 enthält die WLAN-Verbindungsprofileinstellungen von Windows 10 Mobile. Die Informationen in dieser Tabelle helfen Ihnen beim Erstellen von WLAN-Verbindungsprofilen in Ihrem MDM-System.
Tabelle 10. WLAN-Verbindungsprofileinstellungen unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| SSID | Der Name des WLAN-Netzwerks als SSID (Service Set Identifier); Groß- und Kleinschreibung beachten. |
| Sicherheitstyp | Die Art der vom WLAN-Netzwerk verwendeten Sicherheit. Mögliche Authentifizierungstypen:
|
| Authentication encryption | Die Art der von der Authentifizierung verwendeten Verschlüsselung. Mögliche Verschlüsselungsmethoden:
|
| Extensible Authentication Protocol Transport Layer Security (EAP-TLS) | EAP-TLS kann von den Sicherheitstypen „WPA-Enterprise 802.11“ und „WPA2-Enterprise 802.11“ mit Zertifikaten für die Authentifizierung verwendet werden. |
| Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2 (PEAP-MSCHAPv2) | PEAP-MSCHAPv2 kann von den Sicherheitstypen „WPA-Enterprise 802.11“ und „WPA2-Enterprise 802.11“ mit einer Kombination aus Benutzername und Kennwort für die Authentifizierung verwendet werden. |
| Gemeinsam verwendeter Schlüssel | Von den Sicherheitstypen „WPA-Personal 802.11“ und „WPA2-Personal 802.11“ kann ein gemeinsam verwendeter Schlüssel zur Authentifizierung genutzt werden. |
| Proxy | Die Konfiguration von ggf. benötigten Netzwerkproxys für die WLAN-Verbindung. Geben Sie für den Proxyserver den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN), die IPv4-Adresse, die IPv6-Adresse oder die Adresse einer zukünftigen IP-Version an. |
| Disable Internet connectivity checks | Gibt an, ob die WLAN-Verbindung auf Internetkonnektivität geprüft werden soll. |
| Proxy auto-configuration URL | Eine URL, die die Proxy-Autokonfigurationsdatei angibt. |
| Enable Web Proxy Auto-Discovery Protocol (WPAD) | Gibt an, ob WPAD aktiviert ist. |
Tabelle 11 enthält die Windows 10 Mobile-Einstellungen für die Verwaltung der WLAN-Verbindung.
Tabelle 11. WLAN-Verbindungseinstellungen unter Windows 10 Mobile
| Einstellung | Konfiguration |
|---|---|
| Allow Auto Connect To Wi-Fi Sense Hotspots | Gibt an, ob das Gerät automatisch WLAN-Netzwerke erkennt und eine Verbindung herstellt. |
| Allow Manual Wi-Fi Configuration | Gibt an, ob der Benutzer die WLAN-Einstellungen manuell konfigurieren kann. |
| Wi-Fi zulassen | Gibt an, ob die WLAN-Hardware aktiviert ist. |
| WLAN Scan Mode | Gibt an, wie aktiv das Gerät nach WLAN-Netzwerken sucht. |
Proxy
Unter Windows 10 Mobile ausgeführte Apps (etwa Microsoft Edge) können über Proxyverbindungen auf Inhalte aus dem Internet zugreifen. Üblicherweise werden Proxyverbindungen jedoch von WLAN-Verbindungen im Unternehmensintranet verwendet. In Windows 10 Mobile können mehrere Proxys definiert werden.
Hinweis
Windows 10 Mobile unterstützt auch Proxy-Autokonfigurationsdateien (PAC-Dateien) zum automatischen Konfigurieren von Proxyeinstellungen. Mit WPAD können Apps per DHCP- und DNS-Suche nach der PAC-Datei suchen.
Tabelle 12 enthält die Windows 10 Mobile-Einstellungen für Proxyverbindungen.
Tabelle 12. Proxyverbindungseinstellungen unter Windows 10 Mobile
| Einstellungen | Konfiguration |
|---|---|
| Proxy name | Der eindeutige Name der Proxyverbindung. |
| Proxy ID | Der eindeutige Bezeichner für die Proxyverbindung. |
| Name | Der benutzerfreundliche Name der Proxyverbindung. |
| Serveradresse | Die Adresse des Proxyservers (vollqualifizierter Domänenname oder IP-Adresse des Servers). |
| IP address type | Die Art der IP-Adresse, die den Proxyserver identifiziert. Mögliche Werte:
|
| Proxy connection type | Der Proxyverbindungstyp. Mögliche Werte:
|
| Ports | Die Portinformationen für die Proxyverbindung. Verfügbare Einstellungen:
|
| Configuration reference | Die Verbindungsreferenzinformationen für die Proxyverbindung. Die Informationen in dieser optionalen Einstellung werden vom Unternehmen festgelegt. |
VPN
Neben WLAN-Verbindungen verwenden Benutzer häufig auch ein VPN, um sicher auf Apps und Ressourcen zuzugreifen, die sich im Unternehmensintranet hinter einer Firewall befinden. Windows 10 Mobile unterstützt nicht nur systemeigene Microsoft-VPNs (beispielsweise PPTP [Point to Point Tunneling-Protokoll], L2TP (Layer 2 Tunneling-Protokoll] und IKEv2 [Internet Key Exchange-Protokoll, Version 2]), sondern auch zahlreiche andere VPN-Anbieter. Hierzu zählen:
IKEv2
IP-Sicherheit
SSL-VPN-Verbindungen (erfordern ein herunterladbares Plug-In vom VPN-Serveranbieter)
Windows 10 Mobile kann auch für die Verwendung automatisch ausgelöster VPN-Verbindungen konfiguriert werden. VPN-Verbindungen werden für jede App konfiguriert, die Zugriff auf das Intranet benötigt. Wenn Benutzer zu einer anderen App wechseln, wird vom Betriebssystem automatisch die VPN-Verbindung für diese App hergestellt. Sollte die VPN-Verbindung getrennt werden, wird sie von Windows 10 Mobile automatisch und ohne Benutzereingriff wiederhergestellt.
Mit ständig aktiviertem VPN kann von Windows 10 Mobile auch automatisch eine VPN-Verbindung hergestellt werden, wenn sich ein Benutzer anmeldet. Die VPN-Verbindung bleibt bestehen, bis sie vom Benutzer manuell getrennt wird.
Die MDM-Unterstützung für VPN-Verbindungen unter Windows 10 Mobile umfasst das Bereitstellen und Aktualisieren von VPN-Verbindungsprofilen sowie das Zuordnen von VPN-Verbindungen zu Apps. Sie können VPN-Verbindungsprofile erstellen und anschließend auf verwalteten Geräten unter Windows 10 Mobile bereitstellen. Tabelle 13 enthält die Felder für VPN-Verbindungsprofile unter Windows 10 Mobile.
Tabelle 13. VPN-Verbindungsprofileinstellungen unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Native VPN protocol profile | Die Konfigurationsinformationen, wenn für das VPN die systemeigenen VPN-Protokolle von Windows 10 Mobile (beispielsweise IKEv2, PPTP oder L2TP) verwendet werden. Verfügbare Einstellungen:
|
| VPN plugin profile | Windows Store-basierte VPN-Plug-Ins für die VPN-Verbindung. Verfügbare Einstellungen:
|
| Always on connection | Gibt an, ob die VPN-Verbindung bei der Anmeldung des Benutzers hergestellt wird und bis zur manuellen Trennung durch den Benutzer bestehen bleibt. |
| App trigger list | Eine Liste mit Apps, von denen die VPN-Verbindung automatisch initiiert wird. Für jeden App-Trigger in der Liste stehen folgende Einstellungen zur Verfügung:
|
| DNS suffixes | Eine durch Trennzeichen getrennte Liste mit DNS-Suffixen für die VPN-Verbindung. Alle DNS-Suffixe in dieser Liste werden automatisch der Suffix-Suchliste hinzugefügt. |
| LockDown VPN profile | Gibt an, ob es sich bei dieser VPN-Verbindung um ein Sperrmodusprofil handelt. Ein Sperrmodus-VPN-Profil weist folgende Merkmale auf:
Ein Sperrmodus-VPN-Profil muss gelöscht werden, um wieder andere VPN-Profile hinzufügen, entfernen oder verbinden zu können. |
| Name Resolution Policy Table rules | Eine Liste mit Richtlinientabellenregeln für die Namensauflösung für die VPN-Verbindung. Für jede Regel in der Liste stehen folgende Einstellungen zur Verfügung:
|
| Proxy | Jegliche nach der Herstellung der VPN-Verbindung erforderliche Proxyunterstützung. Verfügbare Einstellungen:
|
| Remember credentials | Gibt an, ob Anmeldeinformationen von der VPN-Verbindung zwischengespeichert werden. |
| Route list | Eine Liste mit Routen, die der Routingtabelle für die VPN-Verbindung hinzugefügt werden sollen. Für jede Route in der Liste stehen folgende Einstellungen zur Verfügung:
|
| Traffic filter list | Eine Liste mit Datenverkehrsregeln zum Definieren des Datenverkehrs, der über die VPN-Verbindung gesendet werden kann. Für jede Regel in der Liste stehen folgende Einstellungen zur Verfügung:
|
| Trusted network detection | Eine durch Trennzeichen getrennte Liste mit vertrauenswürdigen Netzwerken, die dafür sorgt, dass keine VPN-Verbindung hergestellt wird, wenn direkt auf das Intranet zugegriffen werden kann. |
Tabelle 14 enthält die Windows 10 Mobile-Einstellungen für die Verwaltung von VPN-Verbindungen. Mithilfe dieser Einstellungen können Sie VPNs über Datenverbindungen verwalten und somit roaming- oder datentarifbedingte Kosten verringern.
Tabelle 14. VPN-Verwaltungseinstellungen unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Allow VPN | Gibt an, ob Benutzer VPN-Einstellungen ändern können. |
| VPN über Mobilfunk zulassen | Gibt an, ob Benutzer VPN-Verbindungen über Mobilfunknetze herstellen können. |
| Allow VPN Over Cellular when Roaming | Gibt an, ob Benutzer während des Roamings VPN-Verbindungen über Mobilfunknetze herstellen können. |
APN profiles
Ein APN definiert Netzwerkpfade für Datenverbindungen. Üblicherweise wird für ein Gerät in Zusammenarbeit mit einem Mobilfunkanbieter lediglich ein einzelner APN definiert. Sie können jedoch auch mehrere APNs definieren, falls Ihr Unternehmen mehrere Mobilfunkanbieter verwendet.
Ein APN stellt eine private Verbindung mit dem Unternehmensnetzwerk bereit, die anderen Unternehmen im Netz des Mobilfunkanbieters nicht zur Verfügung steht. APNs werden von Unternehmen in Europa und im Asien-Pazifik-Raum verwendet. In den USA sind sie dagegen eher selten.
APN-Profile können in MDM-Systemen definiert und bereitgestellt werden, um die Datenverbindung für Windows 10 Mobile zu konfigurieren. Geräte unter Windows 10 Mobile können immer nur ein APN-Profil besitzen. Tabelle 15 enthält die MDM-Einstellungen, die von Windows 10 Mobile für APN-Profile unterstützt werden.
Tabelle 15. APN-Profileinstellungen unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| APN name | Der APN-Name. |
| IP connection type | Der IP-Verbindungstyp. Mögliche Werte:
|
| LTE attached | Gibt an, ob der APN als Teil eines LTE-Attach angefügt werden soll. |
| APN class ID | Der GUID, der die APN-Klasse gegenüber dem Modem definiert. |
| APN authentication type | Der APN-Authentifizierungstyp. Mögliche Werte:
|
| Benutzername | Das Benutzerkonto, wenn Benutzer als APN-Authentifizierungstyp die Option „PAP“ (Password Authentication-Protokoll), „CHAP“ oder „MSCHAPv2“ auswählen. |
| Kennwort | Das Kennwort für das unter Benutzername angegebene Benutzerkonto. |
| Integrated circuit card ID | Der dem Mobilfunkverbindungsprofil zugeordnete ICCID (Integrated Circuit Card Identifier). |
Data leak protection
In bestimmten Benutzerumgebungen kann die Speicherung von Unternehmensdaten auf firmeneigenen Geräten ein Risiko darstellen. Ein Beispiel wäre etwa das Kopieren und Einfügen von Informationen aus der branchenspezifischen App der Organisation. Zur Verringerung dieses Risikos können Sie die Benutzeroberfläche von Windows 10 Mobile einschränken, um Unternehmensdaten zu schützen und Datenlecks zu verhindern. So können Sie beispielsweise das Synchronisieren von Einstellungen, Kopier- und Einfügevorgänge und Bildschirmaufnahmen verhindern. Tabelle 16 enthält die MDM-Einstellungen zur Vermeidung von Datenlecks unter Windows 10 Mobile.
Tabelle 16. Windows 10 Mobile-Einstellungen zum Schutz vor Datenlecks
| Einstellung | Beschreibung |
|---|---|
| Allow copy and paste | Gibt an, ob Benutzer Inhalte kopieren und einfügen können. |
| Cortana zulassen | Gibt an, ob Benutzer Cortana auf dem Gerät verwenden können (sofern verfügbar). |
| Allow device discovery | Gibt an, ob auf dem Sperrbildschirm die Benutzeroberfläche für die Geräteerkennung verfügbar ist. (Mit dieser Einstellung können Sie beispielsweise steuern, ob ein Gerät einen Projektor [oder ein anderes Gerät] erkennen kann, wenn der Sperrbildschirm angezeigt wird.) |
| Allow input personalization | Gibt an, ob personenbezogene Informationen das Gerät verlassen oder lokal gespeichert werden dürfen (beispielsweise von Cortana gespeicherte Informationen, Freihandeingaben, Diktate). |
| Allow manual MDM unenrollment | Gibt an, ob Benutzer das Unternehmensbereichskonto löschen (sprich: die Registrierung des Geräts beim MDM-System aufheben) dürfen. |
| Allow screen capture | Gibt an, ob Benutzer auf dem Gerät Screenshots erstellen dürfen. |
| Allow SIM error dialog prompt | Gibt an, ob ein Dialogfeld angezeigt werden soll, wenn keine SIM-Karte eingelegt ist. |
| Allow sync my settings | Gibt an, ob die Einstellungen der Benutzerumgebung zwischen Geräten synchronisiert werden sollen. (Funktioniert nur bei Microsoft-Konten.) |
| Allow toasts notifications above lock screen | Gibt an, ob auf dem Sperrbildschirm des Geräts Popupbenachrichtigungen angezeigt werden können. |
| Allow voice recording | Gibt an, ob Benutzer Sprachaufzeichnungen erstellen dürfen. |
Speicherverwaltung
Der Schutz der Apps und Daten auf einem Gerät ist ein zentraler Aspekt der Gerätesicherheit. Eine Methode zum Schutz Ihrer Apps und Daten ist die Verschlüsselung des internen Gerätespeichers mithilfe der Geräteverschlüsselung von Windows 10 Mobile. Diese Verschlüsselung schützt Unternehmensdaten vor unbefugtem Zugriff – sogar dann, wenn ein nicht autorisierter Benutzer physisch auf das Gerät zugreift.
Windows 10 Mobile ermöglicht unter anderem die Installation von Apps auf einer SD-Karte. Das Betriebssystem speichert Apps auf einer speziell für diesen Zweck vorgesehenen Partition. Dieses Feature ist immer aktiv, daher muss hierzu nicht extra eine Richtlinie festgelegt werden.
Die SD-Karte wird eindeutig mit einem Gerät gekoppelt. Die Apps und Daten auf der verschlüsselten Partition sind für kein anderes Gerät sichtbar. Auf der unverschlüsselten Partition gespeicherte Daten (etwa Musik oder Fotos) stehen dagegen auch anderen Geräten zur Verfügung.
Durch Deaktivieren der Einstellung Allow Storage Card können Sie die Verwendung von SD-Karten vollständig unterbinden. Der Hauptvorteil des Features zur Verschlüsselung der App-Partition auf SD-Karten besteht jedoch darin, dass Organisationen Benutzern die Flexibilität der SD-Kartenverwendung bieten und dabei gleichzeitig die darauf befindlichen vertraulichen Apps und Daten schützen können.
Wenn Sie den Speicher nicht verschlüsseln, können Sie Ihre Unternehmens-Apps und -daten mithilfe der Einstellungen Restrict app data to the system volume und Restrict apps to the system volume schützen. Diese Einstellungen sorgen dafür, dass Benutzer Ihre Apps und Daten nicht auf SD-Karten kopieren können.
Tabelle 17 enthält die MDM-Speicherverwaltungseinstellungen von Windows 10 Mobile.
Tabelle 17. Speicherverwaltungseinstellungen unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Allow Storage Card | Gibt an, ob Benutzer Speicherkarten als Gerätespeicher verwenden können. (Verhindert nicht den programmgesteuerten Zugriff auf die Speicherkarten.) |
| Require Device Encryption | Gibt an, ob der interne Speicher verschlüsselt wird. (Die Verschlüsselung eines verschlüsselten Geräts kann nicht mithilfe einer Richtlinie deaktiviert werden.) |
| Verschlüsselungsmethode | Gibt die BitLocker-Laufwerkverschlüsselungsmethode und die Verschlüsselungsstärke an. Mögliche Werte:
|
| Allow Federal Information Processing Standard (FIPS) algorithm policy | Gibt an, ob das Gerät die FIPS-Algorithmusrichtlinie zulässt. |
| SSL-Verschlüsselungssammlungen | Gibt eine Liste mit den zulässigen kryptografischen Verschlüsselungsalgorithmen für SSL-Verbindungen an. |
| Restrict app data to the system volume | Gibt an, ob App-Daten auf das Systemlaufwerk beschränkt werden. |
| Restrict apps to the system volume | Gibt an, ob Apps auf das Systemlaufwerk beschränkt werden. |
App-Verwaltung
Apps verbessern die Benutzerproduktivität auf mobilen Geräten. Unter Windows 10 können Organisationen jetzt Apps aus dem Windows Store für ihre Mitarbeiter erwerben und diese Apps über den Windows Store oder ein MDM-System bereitstellen. Die App-Verwaltung entwickelt sich zu einer der zentralen Funktionen von MDM-Systemen und vereinfacht allgemeine App-bezogene Aufgaben wie das Verteilen von Apps und das Schützen von Daten mithilfe von App-Richtlinien. Dieser Abschnitt beschreibt die App-Verwaltungsfeatures unter Windows 10 Mobile. Er umfasst folgende Themen:
Universelle Windows-Plattform (UWP)
Beschaffen der richtigen App
Windows Store für Unternehmen
Richtlinien für die mobile Anwendungsverwaltung (Mobile Application Management, MAM)
Microsoft Edge
Universelle Windows-Plattform
Durch die Einführung von UWP schafft Windows 10 eine zentrale Anwendungsplattform für alle Geräte, auf denen eine Edition von Windows 10 ausgeführt wird. UWP-Apps können ohne Anpassung unter allen Editionen von Windows 10 verwendet werden, und der Windows Store enthält nun Apps, die Sie für alle Ihre Geräte unter Windows 10 lizenzieren und erwerben können. Windows Phone 8.1- und Windows 8.1-Apps können zwar auch auf Geräten unter Windows 10 verwendet werden, die MAM-Verbesserungen unter Windows 10 sind jedoch UWP-Apps vorbehalten. Weitere Informationen finden Sie im Anleitung für UWP (Universelle Windows-Plattform)-Apps.
Beschaffen der richtigen App
Der erste Schritt bei der App-Verwaltung besteht in der Beschaffung der Apps, die Ihre Benutzer benötigen. Apps können nun über den Windows Store-Apps beschafft werden. Entwickler können auch organisationsspezifische Apps (so genannte line-of-business (LOB) apps) erstellen. Die Entwickler solcher Apps werden als LOB publishers bezeichnet. Ein (interner oder externer) LOB-Entwickler kann diese Apps jetzt auf Wunsch im Windows Store veröffentlichen. Alternativ können Sie die App-Pakete auch offline erhalten und über Ihr MDM-System verteilen.
Verwenden Sie zum Installieren von Windows Store- oder Branchen-Apps den Windows Store-Clouddienst oder Ihr MDM-System, um die App-Pakete zu verteilen. Ihr MDM-System kann Apps online (durch Umleitung des Benutzers zu einer lizenzierten App im Windows Store) oder offline (durch Verteilung eines zuvor aus dem Windows Store heruntergeladenen Pakets – so genanntes sideloading) auf Geräten unter Windows 10 Mobile bereitstellen. Der App-Bereitstellungsprozess lässt sich vollständig automatisieren und ganz ohne Benutzereingriff abwickeln.
IT-Administratoren können Apps über den Store für Unternehmen beschaffen. Die meisten Apps können online verteilt werden. Dabei muss der Benutzer bei dem Gerät mit einem Azure AD-Konto angemeldet sein und während der Installation über Internetzugriff verfügen. Die Offlineverteilung einer App erfordert die vorherige Zustimmung des Entwicklers. Falls der App-Entwickler das Herunterladen der App aus dem Windows Store nicht gestattet, müssen Sie die Dateien direkt beim Entwickler anfordern oder die Onlinemethode verwenden. Weitere Informationen zu über den Store für Unternehmen beschafften Apps finden Sie unter Windows Store für Unternehmen.
Windows Store-Apps werden automatisch als vertrauenswürdig behandelt. Bei benutzerdefinierten Branchen-Apps, die intern oder von einem vertrauenswürdigen Softwareanbieter entwickelt werden, muss sichergestellt werden, dass das Gerät dem App-Signaturzertifikat vertraut. Verwenden Sie hierzu entweder ein Signaturzertifikat einer vertrauenswürdigen Quelle, oder generieren Sie ein eigenes Signaturzertifikat, und fügen Sie Ihre Vertrauenskette den vertrauenswürdigen Zertifikaten auf dem Gerät hinzu. Auf einem Gerät unter Windows 10 Mobile können bis zu 20 selbstsignierte Apps installiert werden. Wenn Sie ein Signaturzertifikat von einer öffentlichen Zertifizierungsstelle erwerben, können Sie mehr als 20 Apps auf einem Gerät installieren. (Unter Windows 10 Mobile Enterprise können pro Gerät ohnehin mehr als 20 selbstsignierte Apps installiert werden.)
Benutzer können von der Organisation erworbene Apps aus dem Windows Store über die Store-App auf ihrem Gerät installieren. Wenn Sie Ihren Benutzern die Anmeldung mit einem Microsoft-Konto ermöglichen, können private und geschäftliche Apps über die Store-App auf dem Gerät auf einheitliche Weise installiert werden.
Store für Unternehmen
Windows Store für Unternehmen ist ein Webportal, über das IT-Spezialisten und Käufer Apps für Geräte unter Windows 10 suchen, erwerben, verwalten und verteilen können. Über dieses Onlineportal haben authentifizierte Azure AD-Manager Zugriff auf Funktionen und Einstellungen des Store für Unternehmen. Store-Manager können einen privaten Windows Store-Bereich erstellen, in dem Organisationen spezifische und der Organisation vorbehaltene Apps verwalten können. Über den Store für Unternehmen können Organisationen Apps für ihre Benutzer verfügbar machen und App-Lizenzen für sie erwerben. Darüber hinaus können sie ihre Store für Unternehmen-Abonnements in ihre MDM-Systeme integrieren, damit das MDM-System Apps aus ihrem kostenlosen Store für Unternehmen-Abonnement bereitstellen kann.
Gehen Sie zur Verwendung des Store für Unternehmen wie folgt vor:
Erstellen Sie ein Store für Unternehmen-Abonnement für Ihre Organisation.
Erwerben Sie über das Store für Unternehmen-Portal Apps aus dem Windows Store. (Derzeit sind nur kostenlose Apps verfügbar.)
Verteilen Sie im Store für Unternehmen Apps an Benutzer, und verwalten Sie die App-Lizenzen für die im vorherigen Schritt erworbenen Apps.
Integrieren Sie das Store für Unternehmen-Abonnement Ihrer Organisation in Ihr MDM-System.
Stellen Sie die Apps mithilfe Ihres MDM-Systems bereit.
Weitere Informationen zum Store für Unternehmen finden Sie unter Windows Store für Unternehmen.
Richtlinien für die mobile Anwendungsverwaltung (Mobile Application Management, MAM)
Mit MDM können Sie Device Guard unter Windows 10 Mobile verwalten und Positiv- oder Negativlisten für Apps erstellen. Dies ist auch für integrierte Apps wie Telefon, SMS, E-Mail und Kalender möglich. Durch Zulassen oder Verweigern der Verwendung bestimmter Apps können Sie sicherstellen, dass die Benutzer ihre mobilen Geräte ausschließlich zu den vorgesehenen Zwecken verwenden.
Darüber hinaus können Sie den Benutzerzugriff auf den Windows Store steuern und festlegen, ob Apps durch den Store-Dienst automatisch aktualisiert werden sollen. Diese Funktionen können alle über das MDM-System verwaltet werden. Tabelle 18 enthält die App-Verwaltungseinstellungen von Windows 10 Mobile.
Tabelle 18. App-Verwaltungseinstellungen unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Allow All Trusted Apps | Gibt an, ob Benutzer Apps auf dem Gerät querladen können. |
| Allow App Store Auto Update | Gibt an, ob automatische App-Updates aus dem Windows Store zulässig sind. |
| Allow Developer Unlock | Gibt an, ob die Entwicklersperre aufgehoben werden darf. |
| Allow Shared User App Data | Gibt an, ob mehrere Benutzer der gleichen App Daten gemeinsam nutzen können. |
| Allow Store | Gibt an, ob die Windows Store-App ausgeführt werden darf. |
| Allow Windows Bridge For Android App Execution | Gibt an, ob die App „Windows-Brücke für Android“ ausgeführt werden darf. |
| Application Restrictions | Ein XML-BLOB, das die App-Einschränkungen für ein Gerät definiert. (Das XML-BLOB kann eine Positiv- oder Negativliste für Apps enthalten. Apps können auf der Grundlage der App-ID oder des Herausgebers zugelassen oder verweigert werden.) |
| Require Private Store Only | Gibt an, ob Benutzern ausschließlich der private Store zur Verfügung steht. (Bei aktivierter Option ist nur der private Store verfügbar. Bei deaktivierter Option sind sowohl der Einzelhandelskatalog als auch der private Store verfügbar.) |
| Restrict App Data To System Volume | Gibt an, ob App-Daten nur auf dem Systemlaufwerk zulässig sind. |
| Restrict App To System Volume | Gibt an, ob die App-Installation nur auf dem Systemlaufwerk zulässig ist. |
| Start screen layout | Zum Konfigurieren des Startbildschirms verwendetes XML-BLOB. (Weitere Informationen finden Sie unter Startlayout für Windows 10 Mobile-Editionen.) |
Ein mögliches Sicherheitsproblem ist, dass Benutzer sich als Entwickler von Windows 10 Mobile-Apps registrieren und auf ihrem Gerät Entwicklerfeatures aktivieren können. Dies ermöglicht die Installation von Apps aus unbekannten Quellen und kann das Gerät anfällig für Malware machen. Durch Festlegen der über Ihr MDM-System konfigurierbaren Richtlinie Disable development unlock (side loading) können Sie verhindern, dass Benutzer Entwicklerfeatures auf ihren Geräten aktivieren.
Microsoft Edge
MDM-Systeme ermöglichen die Verwaltung von Microsoft Edge auf mobilen Geräten. Tabelle 19 enthält die Microsoft Edge-Einstellungen für Windows 10 Mobile.
Tabelle 19. Microsoft Edge-Einstellungen für Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Active Scripting zulassen | Gibt an, ob Active Scripting zulässig ist. |
| Allow Autofill | Gibt an, ob Werte auf Websites automatisch ausgefüllt werden. |
| Allow Browser | Gibt an, ob Internet Explorer auf dem Gerät zulässig ist. |
| Allow Cookies | Gibt an, ob Cookies zulässig sind. |
| Allow Do Not Track headers | Gibt an, ob DNT-Kopfzeilen zulässig sind. |
| Allow InPrivate | Gibt an, ob Benutzer InPrivate-Browsen verwenden können. |
| Allow Password Manager | Gibt an, ob Benutzer den Kennwort-Manager zum lokalen Speichern und Verwalten von Kennwörtern verwenden können. |
| Allow Search Suggestions in Address Bar | Gibt an, ob auf der Adressleiste Suchvorschläge angezeigt werden. |
| Allow SmartScreen | Gibt an, ob der SmartScreen-Filter aktiviert ist. |
| First Run URL | Die URL, die geöffnet werden soll, wenn ein Benutzer Microsoft Edge zum ersten Mal startet. |
| Include Sites Bypassing Proxy In Intranet Sites | Gibt an, ob Websites, die den Proxyserver umgehen, die Sicherheitszone „Intranet“ verwenden können. |
| Include UNC Paths In Intranet Sites | Gibt an, ob URL-Pfade UNC-Pfade in der Sicherheitszone „Intranet“ darstellen können. |
| Intranet Sites | Eine Liste mit den Websites in der Sicherheitszone „Intranet“. |
| Prevent Smart Screen Prompt Override For Files | Gibt an, ob Benutzer die SmartScreen-Filterwarnungen vor dem Download nicht verifizierter Dateien übergehen können. |
Gerätevorgänge
In diesem Abschnitt erfahren Sie, wie MDM-Einstellungen in Windows 10 Mobile Folgendes unterstützen:
Geräteupdate
Überwachung der Gerätecompliance
Gerätebestand
Remoteunterstützung
Clouddienste
Geräteupdate
Zum Schutz mobiler Geräten und ihrer Daten müssen die Geräte immer auf dem neuesten Stand gehalten werden. Windows Update installiert automatisch Updates und Upgrades, sobald diese verfügbar sind.
Die in diesem Abschnitt beschriebenen Geräteupdatefeatures stehen nur in Windows 10 Mobile Enterprise zur Verfügung. Mit Ihrem MDM-System können Sie Systemupgrades verschieben, wenn Sie eine Enterprise-Lizenz auf einem verwalteten Gerät unter Windows 10 Mobile aktivieren, und steuern, wie Updates und Upgrades angewendet werden sollen. So können Sie beispielsweise Updates vollständig deaktivieren, Updates und Upgrades verzögern und den Zeitpunkt (Tag und Uhrzeit) für das Installieren von Updates planen – genau wie bei WSUS (Windows Server Update Services) auf Desktopcomputern unter Windows 10, auf denen Current Branch for Business ausgeführt wird. Tabelle 20 enthält die Windows 10 Mobile Enterprise-Einstellungen zum Konfigurieren von Updates und Upgrades.
Tabelle 20. Updateverwaltungseinstellungen unter Windows 10 Mobile Enterprise
| Einstellung | Beschreibung |
|---|---|
| Allow automatic update | Das Verhalten der automatischen Aktualisierung beim Suchen, Herunterladen und Installieren von Updates. Verfügbare Verhaltensoptionen:
|
| Allow non Microsoft signed update | Gibt an, ob bei der automatischen Aktualisierung Updates mit einer Signatur akzeptiert werden, die nicht von Microsoft stammt. |
| Allow update service | Gibt an, ob Geräte Updates über Windows Update, WSUS oder den Windows Store erhalten können. |
| Monthly security updates deferred | Gibt an, ob monatliche Updates (beispielsweise Sicherheitspatches) zurückgestellt werden. (Updates können bis zu vier Wochen zurückgestellt werden.) |
| Nonsecurity upgrades deferred | Gibt an, ob nicht sicherheitsrelevante Upgrades zurückgestellt werden. (Upgrades können bis zu acht Monate zurückgestellt werden.) |
| Pause update deferrals | Gibt an, ob das Gerät einen Aktualisierungszyklus überspringen soll. (Diese Einstellung ist nur relevant, wenn Sie für Geräte die Zurückstellung von Updates oder Upgrades konfigurieren.) |
| Require update approval | Gibt an, ob zur Installation von Updates auf Geräten eine Genehmigung erforderlich ist. (Falls ja, werden sämtliche Updates mit Lizenzbedingungen automatisch im Namen des Benutzers akzeptiert.) |
| Schedule install time | Der geplante Zeitpunkt für die Updateinstallation. |
| Scheduled install day | Der Tageszeitplan für die Updateinstallation. |
| Update deferral period | Gibt an, wie lange Updates zurückgestellt werden sollen. |
| Update service URL | Der Name des WSUS-Servers, von dem Updates heruntergeladen werden sollen (anstelle von Windows Update). |
| Upgrade deferral period | Gibt an, wie lange Windows 10 Mobile-Upgrades zurückgestellt werden sollen. |
Neben der Updatebeschaffung von Windows 10 Mobile Enterprise können auch einzelne Windows 10 Mobile-Updates verwaltet werden. Tabelle 21 enthält Informationen zu genehmigten Updates, die Sie beim Rollout neuer Updates für Geräte unter Windows 10 Mobile Enterprise unterstützen.
Tabelle 21. Informationen zu genehmigten Windows 10 Mobile Enterprise-Updates
| Einstellung | Beschreibung |
|---|---|
| Approved updates | Eine Liste mit genehmigten Updates. Für jedes Update in der Liste steht die Einstellung Approved Time zum Angeben der Updategenehmigungszeit zur Verfügung. Bei genehmigten Updates werden Lizenzbedingungen automatisch im Namen der Benutzer akzeptiert. |
| Failed updates | Eine Liste mit nicht erfolgreich installierten Updates. Für jedes Update in der Liste stehen folgende Einstellungen zur Verfügung:
|
| Installed updates | Eine Liste mit den auf dem Gerät installierten Updates. |
| Installable updates | Eine Liste mit Updates, die zur Installation bereitstehen. Für jedes Update in der Liste stehen folgende Einstellungen zur Verfügung:
|
| Pending reboot updates | Eine Liste mit Updates, deren Installation erst nach einem Neustart abgeschlossen werden kann. Für jedes Update in der Liste ist die Einstellung Installed Time aktiviert, um die Installationszeit für das Update anzugeben. |
| Last successful scan time | Gibt an, wann zuletzt erfolgreich nach Updates gesucht wurde. |
| Defer upgrade | Gibt an, ob das Upgrade bis zum nächsten Aktualisierungszyklus zurückgestellt wird. |
Überwachung der Gerätecompliance
Das MDM-System kann zur Überwachung der Compliance verwendet werden. Windows 10 Mobile bietet Überwachungsinformationen zum Nachverfolgen von Problemen und Durchführen von Abhilfemaßnahmen. Mithilfe dieser Informationen können Sie sicherstellen, dass die Konfiguration von Geräten den Standards der Organisation entspricht.
Darüber hinaus können Sie die Integrität von Geräten unter Windows 10 Mobile bewerten und mithilfe von Unternehmensrichtlinien Aktionen durchführen. Der Prozess des Integritätsnachweisfeatures unter Windows 10 Mobile läuft wie folgt ab:
Der Integritätsnachweisclient sammelt Daten zum Überprüfen der Geräteintegrität.
Der Client leitet die Daten an den Integritätsnachweisdienst (Health Attestation Service, HAS) weiter.
Der HAS generiert ein Integritätsnachweiszertifikat.
Der Client leitet das Integritätsnachweiszertifikat und die dazugehörigen Informationen zur Überprüfung an das MDM-System weiter.
Weitere Informationen zum Integritätsnachweis unter Windows 10 Mobile finden Sie im Sicherheitsleitfaden für Windows 10 Mobile.
Abhängig von den Ergebnissen der Überprüfung des Integritätszustands kann ein MDM-System folgende Aktionen ausführen:
Ressourcenzugriff des Geräts zulassen
Ressourcenzugriff des Geräts zulassen, aber Gerät zur weiteren Untersuchung kennzeichnen
Ressourcenzugriff des Geräts verhindern
Tabelle 21 enthält Datenpunkte, die der HAS auf Geräten unter Windows 10 Mobile sammelt und auswertet, um die passende Aktion zu ermitteln. Für die meisten dieser Datenpunkte kann das MDM-System eine der folgenden Aktionen ausführen:
Sämtlichen Zugriff verweigern
Zugriff auf Ressourcen mit erheblichen Geschäftsauswirkungen verweigern
Bedingten Zugriff auf der Grundlage anderer Datenpunkte zulassen, die zum Zeitpunkt der Auswertung vorliegen (etwa andere Attribute des Integritätszertifikats oder ein Verlauf des Geräts mit bisherigen Aktivitäten und Vertrauensstellungen)
Eine der obigen Aktionen durchführen und das Gerät einer Überwachungsliste hinzufügen, um es genauer auf potenzielle Risiken zu überwachen
Korrekturmaßnahme ergreifen (beispielsweise IT-Administratoren auffordern, sich mit dem Besitzer in Verbindung zu setzen und das Problem zu untersuchen)
Tabelle 21. HAS-Datenpunkte unter Windows 10 Mobile
| Datenpunkt | Beschreibung |
|---|---|
| Attestation Identity Key (AIK) present | Gibt an, dass ein AIK vorhanden ist. (Das Gerät ist also vertrauenswürdiger als ein Gerät ohne AIK.) |
| Data Execution Prevention (DEP) enabled | Gibt an, ob für das Gerät eine DEP-Richtlinie aktiviert ist, die angibt, dass das Gerät vertrauenswürdiger ist als ein Gerät ohne DEP-Richtlinie. |
| BitLocker-Status | BitLocker schützt den Speicher auf dem Gerät. Ein Gerät mit BitLocker ist vertrauenswürdiger als ein Gerät ohne BitLocker. |
| Secure Boot enabled | Gibt an, ob auf dem Gerät „Sicherer Start“ aktiviert ist. Ein Gerät, auf dem „Sicherer Start“ aktiviert ist, ist vertrauenswürdiger als ein Gerät ohne „Sicherer Start“. Auf Geräten unter Windows 10 Mobile ist „Sicherer Start“ immer aktiviert. |
| Code integrity enabled | Gibt an, ob die Codeintegrität eines Laufwerks oder einer Systemdatei bei jedem Laden in den Arbeitsspeicher überprüft wird. Ein Gerät mit aktivierter Codeintegrität ist vertrauenswürdiger als ein Gerät ohne Codeintegrität. |
| Abgesicherter Modus | Gibt an, ob Windows im abgesicherten Modus ausgeführt wird. Ein Gerät, auf dem Windows im abgesicherten Modus ausgeführt wird, ist weniger vertrauenswürdig als ein Gerät, auf dem Windows im Standardmodus ausgeführt wird. |
| Running Windows Preinstallation Environment (Windows PE) | Gibt an, ob auf dem Gerät Windows PE ausgeführt wird. Ein Gerät unter Windows PE ist weniger sicher als ein Gerät unter Windows 10 Mobile. |
| Boot debug enabled | Gibt an, ob auf dem Gerät der Startdebugger aktiviert ist. Ein Gerät mit aktiviertem Startdebugger ist weniger sicher (vertrauenswürdig) als ein Gerät ohne aktivierten Startdebugger. |
| OS kernel debugging enabled | Gibt an, ob auf dem Gerät das Betriebssystem-Kerneldebugging aktiviert ist. Ein Gerät mit aktiviertem Betriebssystem-Kerneldebugging ist weniger sicher (vertrauenswürdig) als ein Gerät mit deaktiviertem Betriebssystem-Kerneldebugging. |
| Test signing enabled | Gibt an, ob die Testsignierung deaktiviert ist. Ein Gerät mit deaktivierter Testsignierung ist vertrauenswürdiger als ein Gerät mit aktivierter Testsignierung. |
| Boot Manager Version | Die Version des auf dem Gerät ausgeführten Start-Managers. Der HAS kann diese Version überprüfen, um zu ermitteln, ob der neueste Start-Manager ausgeführt wird, was die Sicherheit (Vertrauenswürdigkeit) erhöht. |
| Code integrity version | Gibt die Version des Codes an, von dem während der Startsequenz Integritätstests durchgeführt werden. Der HAS kann diese Version überprüfen, um zu ermitteln, ob die neueste Codeversion ausgeführt wird, was die Sicherheit (Vertrauenswürdigkeit) erhöht. |
| Secure Boot Configuration Policy (SBCP) present | Gibt an, ob der Hash der benutzerdefinierten SBCP vorhanden ist. Ein Gerät mit einem SBCP-Hash ist vertrauenswürdiger als ein Gerät ohne SBCP-Hash. |
| Boot cycle whitelist | Die Betrachtung der Hostplattform zwischen Startzyklen gemäß Herstellerdefinition im Vergleich zu einer veröffentlichten Positivliste. Ein Gerät, das der Positivliste entspricht, ist vertrauenswürdiger (sicherer) als ein nicht konformes Gerät. |
Gerätebestand
Mit dem Gerätebestand können Organisationen ihre Geräteverwaltung verbessern, da ihnen nun ausführliche Informationen zu den Geräten zur Verfügung stehen. MDM-Systeme sammeln per Remotezugriff Bestandsinformationen, und mithilfe der Berichtsfunktionen des Systems können Sie Geräteressourcen und Informationen analysieren. Anhand dieser Informationen können Sie die aktuellen Hardware- und Softwareressourcen des Geräts ermitteln (beispielsweise installierte Updates).
Tabelle 22 enthält Beispiele für von einem Gerätebestand bereitgestellte Software- und Hardwareinformationen unter Windows 10 Mobile. Neben diesen Informationen kann das MDM-System jegliche der in diesem Handbuch beschriebenen Konfigurationseinstellungen lesen.
Tabelle 22. Software- und Hardwarebestandsbeispiele unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Installed enterprise apps | Eine Liste mit den auf dem Gerät installierten Unternehmens-Apps. |
| Gerätename | Der für das Gerät konfigurierte Gerätename. |
| Firmwareversion | Die Version der auf dem Gerät installierten Firmware. |
| Betriebssystemversion | Die Version des auf dem Gerät installierten Betriebssystems. |
| Device local time | Die lokale Zeit auf dem Gerät. |
| Processor type | Der Prozessortyp des Geräts. |
| Gerätemodell | Das Modell des Geräts gemäß Herstellerdefinition. |
| Gerätehersteller | Der Hersteller des Geräts. |
| Device processor architecture | Die Prozessorarchitektur des Geräts. |
| Device language | Die auf dem Gerät verwendete Sprache. |
| Telefonnummer | Die dem Gerät zugewiesene Telefonnummer. |
| Roaming status | Gibt an, ob das Gerät über eine Roaming-Mobilfunkverbindung verfügt. |
| International mobile equipment identity (IMEI) and international mobile subscriber identity (IMSI) | Eindeutige Bezeichner für die Mobilfunkverbindung des Telefons. GSM-Mobilfunknetze identifizieren gültige Geräte anhand der IMEI, und alle Mobilfunknetze identifizieren das Gerät und den Benutzer anhand der IMSI. |
| Wi-Fi IP address | IPv4- und IPv6-Adressen, die derzeit dem WLAN-Adapter des Geräts zugewiesen sind. |
| Wi-Fi media access control (MAC) address | Die dem WLAN-Adapter des Geräts zugewiesene MAC-Adresse. |
| Wi-Fi DNS suffix and subnet mask | DNS-Suffix und IP-Subnetzmaske, die dem WLAN-Adapter des Geräts zugewiesen sind. |
| Sicherer Startzustand | Gibt an, ob „Sicherer Start“ aktiviert ist. |
| Enterprise encryption policy compliance | Gibt an, ob das Gerät verschlüsselt ist. |
Remoteunterstützung
Die Remoteunterstützungsfeatures unter Windows 10 Mobile helfen beim Beheben möglicher Benutzerprobleme, auch wenn der Helpdesk keinen physischen Zugriff auf das Gerät hat. Verfügbare Features:
Remotesperrung. Supportmitarbeiter können ein Gerät per Remotezugriff sperren. Dies kann hilfreich sein, wenn ein Benutzer sein mobiles Gerät verliert und später wiederbeschaffen kann (beispielsweise, wenn er es bei einem Kunden vergessen hat).
Remotezurücksetzung der PIN. Supportmitarbeiter können die PIN per Remotezugriff zurücksetzen, wenn Benutzer ihre PIN vergessen und nicht auf ihr Gerät zugreifen können. Dabei gehen keine Unternehmens- oder Benutzerdaten verloren, und Benutzer können schnell wieder auf ihr Gerät zugreifen.
Remoteklingeln. Supportmitarbeiter können Geräte per Remotezugriff klingeln lassen. Dadurch können Benutzer, die ihr Gerät verlegt haben, bei der Suche unterstützt werden. Und in Kombination mit der Remotesperrung kann sichergestellt werden, dass nicht autorisierte Benutzer, die das Gerät finden, nicht auf das Gerät zugreifen können.
Remotesuche. Supportmitarbeiter können per Remotezugriff die Position eines Geräts auf einer Karte anzeigen, um den geografischen Standort des Geräts zu ermitteln. Verwenden Sie zum Konfigurieren der Remotesuche unter Windows 10 Mobile die Einstellungen aus Tabelle 23. Bei der Remotesuche werden der aktuelle Längen- und Breitengrad sowie die Höhe des Geräts zurückgegeben.
Mit diesen Remoteverwaltungsfeatures können Organisationen den für die Geräteverwaltung erforderlichen IT-Aufwand verringern. Außerdem können Benutzer, die ihr Gerät verlegt oder das Gerätekennwort vergessen haben, ihr Gerät schnell wieder verwenden.
Tabelle 23. Einstellungen für die Remotesuche unter Windows 10 Mobile
| Einstellung | Beschreibung |
|---|---|
| Desired location accuracy | Die gewünschte Genauigkeit als Radiuswert zwischen einem Meter und 1000 Metern. |
| Maximum remote find | Der maximale Zeitraum in Minuten, in dem der Server eine erfolgreiche Remotesuche akzeptiert. Der Wert muss zwischen 0 und 1000 Minuten liegen. |
| Remote find timeout | Die Anzahl von Sekunden, die Geräte auf den Abschluss einer Remotesuche warten sollen. Der Wert muss zwischen 0 und 1800 Sekunden liegen. |
Clouddienste
Auf mobilen Geräten unter Windows 10 Mobile können Benutzer problemlos eine Verbindung mit Apps und Daten herstellen. Daher stellen sie häufig eine Verbindung mit Clouddiensten her, die Benutzerbenachrichtigungen bereitstellen und Telemetrieinformationen (Nutzungsdaten) sammeln. Mit Windows 10 Mobile können Organisationen steuern, wie diese Clouddienste von Geräten genutzt werden.
Verwalten von Pushbenachrichtigungen
Mithilfe des Windows-Pushbenachrichtigungsdiensts (WNS) können Softwareentwickler über ihre Clouddienste Popup-, Kachel- und Signalupdates sowie unformatierte Updates senden. Damit steht ein Mechanismus zur energieeffizienten und verlässlichen Updatebereitstellung für Benutzer zur Verfügung.
Pushbenachrichtigungen können allerdings die Akkulaufzeit beeinträchtigen. Daher schränkt der Stromsparmodus von Windows 10 Mobile Hintergrundaktivitäten auf den Geräten ein, um die Akkulaufzeit zu verlängern. Benutzer können den Stromsparmodus so konfigurieren, dass er automatisch aktiviert wird, wenn der Akkustand einen bestimmten Schwellenwert unterschreitet. Im Stromsparmodus deaktiviert Windows 10 Mobile den Empfang von Pushbenachrichtigungen, um Energie zu sparen.
Für dieses Verhalten gibt es jedoch eine Ausnahme. Unter Windows 10 Mobile kann der Stromsparmodus mithilfe der Einstellungen vom Typ Immer zugelassen (in der Einstellungs-App) so konfiguriert werden, dass Apps auch bei aktiviertem Stromsparmodus Pushbenachrichtigungen empfangen. Diese Liste kann manuell von den Benutzern oder aber über das MDM-System konfiguriert werden. Mit anderen Worten: Sie können diese Einstellungen mithilfe des URI-Schemas für die Stromsparmoduseinstellungen unter Windows 10 Mobile (ms-settings:batterysaver-settingsn) konfigurieren.
Weitere Informationen zu Pushbenachrichtigungen finden Sie unter Übersicht über den Windows-Pushbenachrichtigungsdienst (Windows Push Notification Services, WNS).
Verwalten der Telemetrie
Windows 10 Mobile kann während der Verwendung Leistungs- und Nutzungsdaten sammeln, die Microsoft bei der Ermittlung und Behebung von Problemen sowie bei der Verbesserung von Produkten und Diensten helfen. Microsoft empfiehlt, diese Einstellung auf Full festzulegen.
Microsoft-Mitarbeiter, Auftragnehmer, Lieferanten und Partner erhalten möglicherweise Zugriff auf relevante Teile der von Windows 10 Mobile gesammelten Informationen, dürfen diese aber ausschließlich zur Reparatur oder Verbesserung von Microsoft-Produkten und -Diensten oder von Drittanbietersoftware und -hardware verwenden, die für die Verwendung mit Microsoft-Produkten und -Diensten konzipiert ist.
Sie können den Umfang der von MDM-Systemen gesammelten Daten steuern. Tabelle 24 enthält die von Windows 10 Mobile gesammelten Datenstufen sowie eine Beschreibung der jeweiligen Stufe. Geben Sie zum Konfigurieren der Geräte in der Einstellung Telemetrie zulassen eine dieser Stufen an.
Tabelle 24. Datensammlungsstufen unter Windows 10 Mobile
| Datenstufe | Beschreibung |
|---|---|
| Security | Sammelt nur Informationen, die erforderlich sind, um unter Windows 10 Mobile ein für Unternehmen angemessenes Sicherheitsniveau zu gewährleisten. Hierzu zählen Informationen über Telemetrieclienteinstellungen, über das Tool zum Entfernen bösartiger Software sowie über Windows Defender. Diese Stufe ist nur unter Windows 10 Enterprise, Windows 10 Education und Windows 10 IoT Core verfügbar. Unter Windows 10 Mobile deaktiviert diese Einstellung die Telemetrie von Windows 10 Mobile. |
| Basic | Stellt nur Daten bereit, die für den Betrieb von Windows 10 Mobile erforderlich sind. Diese Datenstufe trägt zum ordnungsgemäßen Betrieb von Windows 10 Mobile und Apps bei. Zu diesem Zweck erhält Microsoft Informationen dazu, über welche Funktionen das Gerät verfügt, was auf dem Gerät installiert ist und ob Windows ordnungsgemäß funktioniert. Mit dieser Option wird auch die Übermittlung grundlegender Fehlerberichte an Microsoft aktiviert. Durch Verwendung dieser Option gestatten Sie Microsoft die Bereitstellung von Updates über Windows Update sowie den Schutz vor Schadsoftware über das Tool zum Entfernen bösartiger Software. |
| Enhanced | Enthält neben grundlegenden Daten auch Daten zur Nutzung von Windows 10 Mobile – beispielsweise, wie häufig oder wie lang Benutzer bestimmte Features oder Apps verwenden und welche Apps besonders häufig verwendet werden. Mit dieser Option kann das Betriebssystem auch erweiterte Diagnoseinformationen wie etwa den Zustand des Arbeitsspeichers bei einem System- oder App-Absturz sammeln und die Zuverlässigkeit von Geräten, Betriebssystem und Apps ermitteln. |
| Full | Enthält alle grundlegenden und erweiterten Daten und aktiviert zudem erweiterte Diagnosefeatures zum Sammeln zusätzlicher Gerätedaten. Hierzu zählen etwa Systemdateien oder Momentaufnahmen des Arbeitsspeichers. Diese können unter Umständen Teile von Dokumenten enthalten, an denen ein Benutzer bei Auftreten eines Problems gerade gearbeitet hat. Anhand dieser Informationen kann Microsoft Probleme noch besser behandeln und beheben. Sollte ein Fehlerbericht persönliche Daten enthalten, werden diese von Microsoft weder zur Identifizierung von Benutzern noch zur Kontaktaufnahme mit Benutzern oder zu Werbezwecken verwendet. |
Ausmusterung von Geräten
Die Ausmusterung (Aufhebung der Registrierung) ist die letzte Lebenszyklusphase eines Geräts. In der Vergangenheit war die Ausmusterung mobiler Geräte ein komplexer und schwieriger Prozess für Organisationen. Wenn die Organisation Geräte nicht mehr benötigt, müssen die darauf befindlichen Unternehmensdaten mittels Zurücksetzung entfernt werden. BYOD-Szenarien machen den Ausmusterungsprozess sogar noch komplizierter, da die persönlichen Apps und Daten der Benutzer davon natürlich unberührt bleiben müssen. Organisationen müssen ihre Daten also entfernen, ohne die Daten der Benutzer zu beeinträchtigen.
Von Geräten unter Windows 10 Mobile können sämtliche Unternehmensdaten per Remotezugriff und ohne Auswirkungen auf vorhandene Benutzerdaten entfernt werden (partielle Zurücksetzung oder Unternehmenszurücksetzung). Die Ausmusterung von Geräten kann vom Helpdesk oder von den Gerätebenutzern initiiert werden. Ausgemusterte Geräte werden von Windows 10 Mobile wieder in den Zustand eines Verbrauchergeräts (sprich: in den Zustand vor der Registrierung) versetzt. Die folgende Liste enthält eine Zusammenfassung der Daten, die bei der Ausmusterung eines Geräts entfernt werden:
E-Mail-Konten
Vom Unternehmen ausgestellte Zertifikate
Netzwerkprofile
Vom Unternehmen bereitgestellte Apps
Sämtliche Daten in Verbindung mit den vom Unternehmen bereitgestellten Apps
Hinweis
Alle diese Features stehen zusätzlich zu den Software- und Hardwarezurücksetzungsfeatures des Geräts zur Verfügung, mit denen Benutzer Geräte auf die Werkseinstellungen zurücksetzen können.
Durch Aktivieren der Einstellung Allow Manual MDM Unenrollment können Sie Benutzern das Löschen des Unternehmensbereichskontos über die Systemsteuerung sowie das Aufheben der Registrierung beim MDM-System ermöglichen. Tabelle 25 enthält zusätzliche Windows 10-Einstellungen für die Remotezurücksetzung, die mit dem MDM-System konfiguriert werden können.
Tabelle 25. Windows 10 Mobile-Einstellungen für die Remotezurücksetzung
| Einstellung | Beschreibung |
|---|---|
| Wipe | Gibt an, dass eine Remotezurücksetzung des Geräts durchgeführt werden soll. |
| Allow manual MDM unenrollment | Gibt an, ob Benutzer das Unternehmensbereichskonto löschen (sprich: die Registrierung des Geräts beim MDM-System aufheben) dürfen. |
| Allow user to reset phone | Gibt an, ob Benutzer das Gerät über die Systemsteuerung oder mithilfe von Hardwaretastenkombinationen auf die Werkseinstellungen zurücksetzen dürfen. |