Detaillierte Funktionen des Device Security Level
Diese Seite bietet einen detaillierten Überblick über die Device Security Levels für alle unterstützten Betriebssysteme. Sie ergänzt die allgemeine Übersicht über die Device Security Levels auf der Seite zu beem Device Management und vermittelt Administratoren so einen detaillierteren Einblick in die Richtlinien.
Die Funktionen sind zur besseren Übersicht nach Kategorien geordnet und können nicht einzeln konfiguriert werden; Richtlinien werden ausschliesslich über den ausgewählten allgemeinen Device Security Level angewendet. Sofern nicht anders angegeben, bedeutet der Wert True, dass die Richtlinie durch den entsprechenden Device Security Level durchgesetzt wird, während False bedeutet, dass sie nicht durchgesetzt wird.
INFO
Durch das Setzen des Device Security Level auf „0“ werden alle Richtlinien für beem Device Management deaktiviert. Auf diese Weise können Richtlinien zu Test- oder Fehlerbehebungszwecken vorübergehend deaktiviert werden, ohne dass die bestehende Konfiguration entfernt wird.
Android One UI
Zugangscodes und Zugriffskontrollen für Geräte
| Funktion | Beschreibung | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Komplexität des Passworts | Dies legt fest, welche Art von Zeichen erforderlich sind. „Numerisch“ bedeutet, dass nur Zahlen zulässig sind (wie bei einer Bank-PIN). „Alphanumerisch“ zwingt den Benutzer dazu, eine Kombination aus Buchstaben und Zahlen zu verwenden (ein echtes Passwort). | Numerisch | Numerisch | Alphanumerisch | Alphanumerisch |
| Mindestlänge | Die Mindestanzahl an Zeichen oder Ziffern, die der Benutzer bei der Erstellung seines „Work Profile“-Passworts eingeben muss. | 6 Ziffern | 6 Ziffern | 6 Zeichen | 8 Zeichen |
| Max. Fehlversuche (Zurücksetzen) | Die „Selbstzerstörungs“-Sequenz. Wenn ein Benutzer den Passcode so oft hintereinander falsch eingibt, löscht beem Device Management automatisch das Arbeitsprofil und alle darin enthaltenen Unternehmensdaten. | 10 | 8 | 6 | 4 |
| Zeitlimit bei Inaktivität | Die Bildschirm-Zeitüberschreitung. Wenn das Telefon so viele Minuten lang nicht bedient wird, sperrt sich das Arbeitsprofil automatisch und erfordert zur erneuten Nutzung einen Passcode oder eine biometrische Authentifizierung. | 5 Minuten | 3 Minuten | 2 Minuten | 1 Minute |
| Passwortverlauf | Verhindert, dass Benutzer ihre alten Passwörter wiederverwenden. Der Wert „5“ bedeutet, dass sie fünf völlig neue Passwörter erstellen müssen, bevor sie ihr bevorzugtes Passwort wiederverwenden können. | 3 | 4 | 5 | 6 |
| Ablauf des Passcodes | Zwingt den Benutzer, seinen Passcode nach 90 Tagen zu ändern. | True | True | True | True |
| Zeitlimit für die starke Authentifizierung | Ein Timer für mehrschichtige Sicherheit. Selbst wenn ein Benutzer den ganzen Tag über seinen Fingerabdruck nutzt, zwingt dieser Timer ihn dazu, alle X Stunden (z. B. alle 24 Stunden) seinen primären Passcode manuell einzugeben, um nachzuweisen, dass er der tatsächliche Besitzer ist und den biometrischen Sensor nicht einfach umgangen hat. | Kein Timer | 24 Stunden | 8 Stunden | 4 Stunden |
| Trennung der Passwörter | Standardmässig ermöglicht Android den Nutzern, ein einziges Passwort zum Entsperren sowohl ihres privaten Smartphones als auch ihres Arbeitsprofils zu verwenden. Wenn diese Einstellung auf „True“ gesetzt wird, wird diese Verknüpfung aufgehoben, sodass der Nutzer gezwungen ist, ein völlig separates, eigens für das Arbeitsprofil bestimmtes Passwort zu verwenden. | False | False | True | True |
Tastensperre und Biometrie
| Funktion | Beschreibung | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Entsperren per Fingerabdruck | Der Benutzer kann das Arbeitsprofil mithilfe dieser bestimmten biometrischen Sensoren entsperren, anstatt seinen Passcode einzugeben. | True | True | True | False |
| Gesichtsentsperrung | Der Benutzer kann das Arbeitsprofil mithilfe dieser bestimmten biometrischen Sensoren entsperren, anstatt seinen Passcode einzugeben. | True | True | False | False |
| Iris-Scan | Der Benutzer kann das Arbeitsprofil mithilfe dieser bestimmten biometrischen Sensoren entsperren, anstatt seinen Passcode einzugeben. | True | True | False | False |
| Vertrauensagenten (Smart Lock) | Das Smartphone bleibt entsperrt (Smart Lock), wenn es erkennt, dass es sich an einem „vertrauenswürdigen Ort“ (z. B. in der Wohnung des Nutzers) befindet oder mit einem „vertrauenswürdigen Bluetooth-Gerät“ (z. B. seinem Auto) verbunden ist. | True | False | False | False |
Datenschutz und Einschränkungen
| Funktion | Beschreibung | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Profilübergreifendes Kopieren/Einfügen | Der Benutzer kann keinen Text aus einer geschäftlichen E-Mail in Outlook kopieren und in sein privates WhatsApp oder Notepad einfügen. | False | True | True | True |
| In das „Share into Work“-Profil einbinden | Verhindert, dass private Apps Daten in den Arbeitscontainer senden. | False | True | True | True |
| Konten bearbeiten | Verhindert, dass der Benutzer im Arbeitsprofil manuell Unternehmens-E-Mail-Konten oder Identitäten hinzufügt oder entfernt; nur der Administrator kann die Konten verwalten. | False | True | True | True |
| Screenshots/Bildschirmaufnahmen | Verhindert, dass der Benutzer Screenshots macht oder den Bildschirm aufzeichnet, solange eine App des Arbeitsprofils geöffnet ist. | False | False | True | True |
| Dienste zur automatischen Ausfüllung | Verhindert, dass Passwortmanager von Drittanbietern oder automatische Ausfüllfunktionen von Browsern Anmeldedaten in Arbeitsanwendungen einfügen. | False | False | True | True |
| Deaktiviert den nativen Android-Druckspooler für Arbeits-Apps und verhindert so, dass Benutzer vertrauliche Dokumente auf nicht verwaltete WLAN-Drucker drucken. | False | False | True | True | |
| Ausgehender Datenstrom (NFC) | Deaktiviert die Weitergabe von Unternehmensdaten über physisches NFC (durch das Aneinanderhalten zweier Telefone). | False | False | True | True |
Datenschutz und Systemsicherheit
| Funktion | Beschreibung | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Standort teilen (Work Apps) | Der Zugriff auf GPS- und Netzwerkortungsdaten für Apps innerhalb des Arbeitsprofils wird vollständig unterbunden, sodass Unternehmens-Apps die physischen Bewegungen des Nutzers nicht nachverfolgen können. | False | False | True | True |
| Kontakte suchen | Verhindert, dass die private Funktion des Telefonwählers das Unternehmensadressbuch durchsucht, um eingehende Anrufer zu identifizieren. | False | False | True | True |
| Bluetooth-Kontaktfreigabe | Verhindert, dass die Kontakte des Arbeitsprofils mit dem über Bluetooth verbundenen Armaturenbrett des Autos synchronisiert werden. | False | False | False | True |
| KI-Assistent | Verhindert, dass Google Assistant (oder andere KI-Sprachassistenten) Daten im Arbeitsprofil auslesen oder mit diesen interagieren. | False | False | False | True |
| Anmeldedaten konfigurieren | Verhindert, dass der Benutzer benutzerdefinierte Sicherheitszertifikate manuell im Keystore des Arbeitsprofils installiert, wodurch Man-in-the-Middle-Angriffe (MitM) verhindert werden. | False | False | False | True |
| Von der Verwaltung konfiguriertes WLAN freigeben | Wenn beem Device Management ein WLAN-Passwort des Unternehmens an das Gerät übermittelt, wird dadurch verhindert, dass der Nutzer die native Android-Funktion „Über QR-Code teilen“ nutzt, um dieses WLAN-Passwort an andere Personen weiterzugeben. | False | False | False | True |
| Richtlinie zu unbekannten Quellen | Verhindert, dass der Nutzer ungeschützte .apk-Dateien aus dem Internet direkt in das Arbeitsprofil herunterlädt und installiert, und zwingt ihn dazu, ausschließlich den zugelassenen Google Play Store zu nutzen. | False | False | False | True |
| Benachrichtigungen der Work-App (Benutzeroberfläche) | „All“ schaltet Benachrichtigungen vollständig aus. „System Only“ lässt wichtige Systemmeldungen zu, verhindert jedoch, dass normale App-Benachrichtigungen im persönlichen Benachrichtigungsbereich angezeigt werden. | All | All | All | System Only |
iOS
Passwort und Zugriffskontrollen
| Funktion | Beschreibung | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Komplexität des Passworts | Schreibt die Verwendung von Buchstaben und Zahlen vor, um die Komplexität der Eingabe exponentiell zu erhöhen. | False | True | True | True |
| Mindestlänge | Erzwingt eine Mindestanzahl von Zeichen (6), um den physischen Schlüsselraum gegen Brute-Force-Angriffe zu erweitern. | True | True | True | True |
| Zeitlimit bei Inaktivität | Sperrt den Bildschirm automatisch (nach 2 Minuten), um die Daten auf unbeaufsichtigten Geräten zu schützen. | True | True | True | True |
| Nachfrist | Beseitigt die Verzögerung beim Entsperren, um unbefugten Zugriff beim sofortigen Aufwachen zu verhindern. | True | True | True | True |
| Max. Anzahl fehlgeschlagener Versuche | Löst nach (10) wiederholten fehlgeschlagenen Versuchen eine kryptografische Löschung auf Hardwareebene aus. | False | True | True | True |
| Passwortverlauf | Verhindert die Wiederverwendung der letzten (10) Codes, um eine regelmässige Rotation der Anmeldedaten zu erzwingen. | False | True | True | True |
| Ablauf des Passcodes | Legt eine maximale Lebensdauer (90 Tage) für den Code fest, um die Gefährdung durch durchgesickerte Pins zu begrenzen. | False | True | True | True |
| Mindestanzahl komplexer Zeichen | Legt eine Mindestanzahl (1) der erforderlichen Sonderzeichen/Zahlen fest. | False | True | True | True |
Datenschutz und Einschränkungen
| Funktion | Beschreibung | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Handgelenkserkennung | Sperrt eine gekoppelte Apple Watch sofort, sobald sie vom Handgelenk genommen wird, um einen unbefugten Zugriff zu verhindern. | False | True | True | True |
| AirDrop-Ziel | Erzwingt, dass alle zulässigen AirDrop-Instanzen als nicht verwalteter Pfad ausgewertet werden. | False | False | True | True |
| Automatische Ausfüllung – erneute Authentifizierung | Erzwingt vor jeder Anmeldetransaktion eine FaceID-/TouchID-Überprüfung als strenge Anwesenheitsbestätigung. | False | False | False | True |
| Verschlüsselte Sicherungen | Schreibt vor, dass alle lokalen iTunes-/Finder-Sicherungen kryptografisch gegen eine forensische Extraktion gesichert werden müssen. | False | False | False | True |
Safari-Browser
| Funktion | Beschreibung | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Safari-Cookies | Steuert die Richtlinien zur Cookie-Zulassung (beschränkt das Tracking ausschliesslich auf besuchte Websites). | True | True | True | True |
| Betrugswarnung | Sorgt automatisch für die Einblendung von Anti-Phishing-Warnungen im Rahmen der Arbeitsabläufe des mobilen Safari-Browsers. | False | True | True | True |
macOS
Passwort und Authentifizierung
| Funktion | Beschreibung | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Mindestlänge | Setzt eine Mindestanzahl von Zeichen (6) durch, um den physischen Schlüsselraum zu erweitern. | True | True | True | True |
| Zeitlimit bei Inaktivität | Erzwingt automatisch die Sperrung mobiler Geräte bei Inaktivität (2 Minuten). | True | True | True | True |
| Nachfrist | Beseitigt die Verzögerung beim Entsperren, um einen nicht authentifizierten Zugriff beim Aufwachen zu verhindern. | True | True | True | True |
| Maximale Anzahl fehlgeschlagener Versuche | Löst nach wiederholten fehlgeschlagenen Versuchen (10) eine Hardware-Löschung aus, um Brute-Force-Angriffe zu verhindern. | False | True | True | True |
| Ablauf des Passcodes | Legt eine maximale Lebensdauer (90 Tage) für den Code fest, um die Gefährdung durch durchgesickerte Pins zu begrenzen. | False | True | True | True |
| Passwortverlauf | Verhindert die Wiederverwendung früherer Codes (10), um eine regelmässige Rotation der Anmeldedaten zu erzwingen. | False | True | True | True |
| Min. Anzahl komplexer Zeichen | Legt eine Mindestanzahl (1) der erforderlichen Sonderzeichen/Zahlen fest. | False | True | True | True |
Systemsicherheit und Firewall
| Funktion | Beschreibung | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Anwendungsfirewall | Aktiviert global die interne, auf der Host-Software basierende Socket-Firewall. | True | True | True | True |
| FileVault deaktivieren | Entzieht explizit die lokalen Administratorrechte, um die Festplattenverschlüsselung zu deaktivieren. | False | True | True | True |
| Gatekeeper | Erzwingt die Überprüfung der Anwendungsunterschriften über die native Gatekeeper-Prüfung. | False | False | True | True |
| Gastkonto | Deaktiviert die Standard-Sandbox-Benutzerprofile, um den anonymen Zugriff zu unterbinden. | False | False | True | True |
| Firewall-Stealth-Modus | Konfiguriert die Firewall so, dass nicht verifizierte ICMP-Anfragen abgelehnt und Netzwerkscans ignoriert werden. | False | False | False | True |
| Bonjour Multicast | Deaktiviert die Indizierung und die Bekanntgabe von Diensten im lokalen Netzwerk über mDNS. | False | False | False | True |
| Medien-Backups | Fängt lokale Anwendungsverbindungen ab, um iTunes-Backups von Endnutzern zu unterbinden. | False | False | False | True |
Safari-Browser
| Funktion | Beschreibung | Level 1 | Level 2 | Level 3 | Level 4 |
|---|---|---|---|---|---|
| Safari-Cookies | Steuert die Richtlinien zur Cookie-Zulassung (beschränkt das Tracking ausschliesslich auf besuchte Websites). | True | True | True | True |
| Betrugswarnung | Aktiviert vor dem Laden Abfragen gegen katalogisierte Phishing-Endpunkte. | False | True | True | True |
| Vollständige URL anzeigen | Zeigt den gesamten URL-Pfad an, um eine Verschleierung oder Fälschung der Domain zu verhindern. | False | True | True | True |
