Skip to content

Detaillierte Funktionen des Device Security Level

Diese Seite bietet einen detaillierten Überblick über die Device Security Levels für alle unterstützten Betriebssysteme. Sie ergänzt die allgemeine Übersicht über die Device Security Levels auf der Seite zu beem Device Management und vermittelt Administratoren so einen detaillierteren Einblick in die Richtlinien.

Die Funktionen sind zur besseren Übersicht nach Kategorien geordnet und können nicht einzeln konfiguriert werden; Richtlinien werden ausschliesslich über den ausgewählten allgemeinen Device Security Level angewendet. Sofern nicht anders angegeben, bedeutet der Wert True, dass die Richtlinie durch den entsprechenden Device Security Level durchgesetzt wird, während False bedeutet, dass sie nicht durchgesetzt wird.


INFO

Durch das Setzen des Device Security Level auf „0“ werden alle Richtlinien für beem Device Management deaktiviert. Auf diese Weise können Richtlinien zu Test- oder Fehlerbehebungszwecken vorübergehend deaktiviert werden, ohne dass die bestehende Konfiguration entfernt wird.

Android One UI

Zugangscodes und Zugriffskontrollen für Geräte

FunktionBeschreibungLevel 1Level 2Level 3Level 4
Komplexität des PasswortsDies legt fest, welche Art von Zeichen erforderlich sind. „Numerisch“ bedeutet, dass nur Zahlen zulässig sind (wie bei einer Bank-PIN). „Alphanumerisch“ zwingt den Benutzer dazu, eine Kombination aus Buchstaben und Zahlen zu verwenden (ein echtes Passwort).NumerischNumerischAlphanumerischAlphanumerisch
MindestlängeDie Mindestanzahl an Zeichen oder Ziffern, die der Benutzer bei der Erstellung seines „Work Profile“-Passworts eingeben muss.6 Ziffern6 Ziffern6 Zeichen8 Zeichen
Max. Fehlversuche (Zurücksetzen)Die „Selbstzerstörungs“-Sequenz. Wenn ein Benutzer den Passcode so oft hintereinander falsch eingibt, löscht beem Device Management automatisch das Arbeitsprofil und alle darin enthaltenen Unternehmensdaten.10864
Zeitlimit bei InaktivitätDie Bildschirm-Zeitüberschreitung. Wenn das Telefon so viele Minuten lang nicht bedient wird, sperrt sich das Arbeitsprofil automatisch und erfordert zur erneuten Nutzung einen Passcode oder eine biometrische Authentifizierung.5 Minuten3 Minuten2 Minuten1 Minute
PasswortverlaufVerhindert, dass Benutzer ihre alten Passwörter wiederverwenden. Der Wert „5“ bedeutet, dass sie fünf völlig neue Passwörter erstellen müssen, bevor sie ihr bevorzugtes Passwort wiederverwenden können.3456
Ablauf des PasscodesZwingt den Benutzer, seinen Passcode nach 90 Tagen zu ändern.TrueTrueTrueTrue
Zeitlimit für die starke AuthentifizierungEin Timer für mehrschichtige Sicherheit. Selbst wenn ein Benutzer den ganzen Tag über seinen Fingerabdruck nutzt, zwingt dieser Timer ihn dazu, alle X Stunden (z. B. alle 24 Stunden) seinen primären Passcode manuell einzugeben, um nachzuweisen, dass er der tatsächliche Besitzer ist und den biometrischen Sensor nicht einfach umgangen hat.Kein Timer24 Stunden8 Stunden4 Stunden
Trennung der PasswörterStandardmässig ermöglicht Android den Nutzern, ein einziges Passwort zum Entsperren sowohl ihres privaten Smartphones als auch ihres Arbeitsprofils zu verwenden. Wenn diese Einstellung auf „True“ gesetzt wird, wird diese Verknüpfung aufgehoben, sodass der Nutzer gezwungen ist, ein völlig separates, eigens für das Arbeitsprofil bestimmtes Passwort zu verwenden.FalseFalseTrueTrue

Tastensperre und Biometrie

FunktionBeschreibungLevel 1Level 2Level 3Level 4
Entsperren per FingerabdruckDer Benutzer kann das Arbeitsprofil mithilfe dieser bestimmten biometrischen Sensoren entsperren, anstatt seinen Passcode einzugeben.TrueTrueTrueFalse
GesichtsentsperrungDer Benutzer kann das Arbeitsprofil mithilfe dieser bestimmten biometrischen Sensoren entsperren, anstatt seinen Passcode einzugeben.TrueTrueFalseFalse
Iris-ScanDer Benutzer kann das Arbeitsprofil mithilfe dieser bestimmten biometrischen Sensoren entsperren, anstatt seinen Passcode einzugeben.TrueTrueFalseFalse
Vertrauensagenten (Smart Lock)Das Smartphone bleibt entsperrt (Smart Lock), wenn es erkennt, dass es sich an einem „vertrauenswürdigen Ort“ (z. B. in der Wohnung des Nutzers) befindet oder mit einem „vertrauenswürdigen Bluetooth-Gerät“ (z. B. seinem Auto) verbunden ist.TrueFalseFalseFalse

Datenschutz und Einschränkungen

FunktionBeschreibungLevel 1Level 2Level 3Level 4
Profilübergreifendes Kopieren/EinfügenDer Benutzer kann keinen Text aus einer geschäftlichen E-Mail in Outlook kopieren und in sein privates WhatsApp oder Notepad einfügen.FalseTrueTrueTrue
In das „Share into Work“-Profil einbindenVerhindert, dass private Apps Daten in den Arbeitscontainer senden.FalseTrueTrueTrue
Konten bearbeitenVerhindert, dass der Benutzer im Arbeitsprofil manuell Unternehmens-E-Mail-Konten oder Identitäten hinzufügt oder entfernt; nur der Administrator kann die Konten verwalten.FalseTrueTrueTrue
Screenshots/BildschirmaufnahmenVerhindert, dass der Benutzer Screenshots macht oder den Bildschirm aufzeichnet, solange eine App des Arbeitsprofils geöffnet ist.FalseFalseTrueTrue
Dienste zur automatischen AusfüllungVerhindert, dass Passwortmanager von Drittanbietern oder automatische Ausfüllfunktionen von Browsern Anmeldedaten in Arbeitsanwendungen einfügen.FalseFalseTrueTrue
DruckenDeaktiviert den nativen Android-Druckspooler für Arbeits-Apps und verhindert so, dass Benutzer vertrauliche Dokumente auf nicht verwaltete WLAN-Drucker drucken.FalseFalseTrueTrue
Ausgehender Datenstrom (NFC)Deaktiviert die Weitergabe von Unternehmensdaten über physisches NFC (durch das Aneinanderhalten zweier Telefone).FalseFalseTrueTrue

Datenschutz und Systemsicherheit

FunktionBeschreibungLevel 1Level 2Level 3Level 4
Standort teilen (Work Apps)Der Zugriff auf GPS- und Netzwerkortungsdaten für Apps innerhalb des Arbeitsprofils wird vollständig unterbunden, sodass Unternehmens-Apps die physischen Bewegungen des Nutzers nicht nachverfolgen können.FalseFalseTrueTrue
Kontakte suchenVerhindert, dass die private Funktion des Telefonwählers das Unternehmensadressbuch durchsucht, um eingehende Anrufer zu identifizieren.FalseFalseTrueTrue
Bluetooth-KontaktfreigabeVerhindert, dass die Kontakte des Arbeitsprofils mit dem über Bluetooth verbundenen Armaturenbrett des Autos synchronisiert werden.FalseFalseFalseTrue
KI-AssistentVerhindert, dass Google Assistant (oder andere KI-Sprachassistenten) Daten im Arbeitsprofil auslesen oder mit diesen interagieren.FalseFalseFalseTrue
Anmeldedaten konfigurierenVerhindert, dass der Benutzer benutzerdefinierte Sicherheitszertifikate manuell im Keystore des Arbeitsprofils installiert, wodurch Man-in-the-Middle-Angriffe (MitM) verhindert werden.FalseFalseFalseTrue
Von der Verwaltung konfiguriertes WLAN freigebenWenn beem Device Management ein WLAN-Passwort des Unternehmens an das Gerät übermittelt, wird dadurch verhindert, dass der Nutzer die native Android-Funktion „Über QR-Code teilen“ nutzt, um dieses WLAN-Passwort an andere Personen weiterzugeben.FalseFalseFalseTrue
Richtlinie zu unbekannten QuellenVerhindert, dass der Nutzer ungeschützte .apk-Dateien aus dem Internet direkt in das Arbeitsprofil herunterlädt und installiert, und zwingt ihn dazu, ausschließlich den zugelassenen Google Play Store zu nutzen.FalseFalseFalseTrue
Benachrichtigungen der Work-App (Benutzeroberfläche)„All“ schaltet Benachrichtigungen vollständig aus. „System Only“ lässt wichtige Systemmeldungen zu, verhindert jedoch, dass normale App-Benachrichtigungen im persönlichen Benachrichtigungsbereich angezeigt werden.AllAllAllSystem Only

iOS

Passwort und Zugriffskontrollen

FunktionBeschreibungLevel 1Level 2Level 3Level 4
Komplexität des PasswortsSchreibt die Verwendung von Buchstaben und Zahlen vor, um die Komplexität der Eingabe exponentiell zu erhöhen.FalseTrueTrueTrue
MindestlängeErzwingt eine Mindestanzahl von Zeichen (6), um den physischen Schlüsselraum gegen Brute-Force-Angriffe zu erweitern.TrueTrueTrueTrue
Zeitlimit bei InaktivitätSperrt den Bildschirm automatisch (nach 2 Minuten), um die Daten auf unbeaufsichtigten Geräten zu schützen.TrueTrueTrueTrue
NachfristBeseitigt die Verzögerung beim Entsperren, um unbefugten Zugriff beim sofortigen Aufwachen zu verhindern.TrueTrueTrueTrue
Max. Anzahl fehlgeschlagener VersucheLöst nach (10) wiederholten fehlgeschlagenen Versuchen eine kryptografische Löschung auf Hardwareebene aus.FalseTrueTrueTrue
PasswortverlaufVerhindert die Wiederverwendung der letzten (10) Codes, um eine regelmässige Rotation der Anmeldedaten zu erzwingen.FalseTrueTrueTrue
Ablauf des PasscodesLegt eine maximale Lebensdauer (90 Tage) für den Code fest, um die Gefährdung durch durchgesickerte Pins zu begrenzen.FalseTrueTrueTrue
Mindestanzahl komplexer ZeichenLegt eine Mindestanzahl (1) der erforderlichen Sonderzeichen/Zahlen fest.FalseTrueTrueTrue

Datenschutz und Einschränkungen

FunktionBeschreibungLevel 1Level 2Level 3Level 4
HandgelenkserkennungSperrt eine gekoppelte Apple Watch sofort, sobald sie vom Handgelenk genommen wird, um einen unbefugten Zugriff zu verhindern.FalseTrueTrueTrue
AirDrop-ZielErzwingt, dass alle zulässigen AirDrop-Instanzen als nicht verwalteter Pfad ausgewertet werden.FalseFalseTrueTrue
Automatische Ausfüllung – erneute AuthentifizierungErzwingt vor jeder Anmeldetransaktion eine FaceID-/TouchID-Überprüfung als strenge Anwesenheitsbestätigung.FalseFalseFalseTrue
Verschlüsselte SicherungenSchreibt vor, dass alle lokalen iTunes-/Finder-Sicherungen kryptografisch gegen eine forensische Extraktion gesichert werden müssen.FalseFalseFalseTrue

Safari-Browser

FunktionBeschreibungLevel 1Level 2Level 3Level 4
Safari-CookiesSteuert die Richtlinien zur Cookie-Zulassung (beschränkt das Tracking ausschliesslich auf besuchte Websites).TrueTrueTrueTrue
BetrugswarnungSorgt automatisch für die Einblendung von Anti-Phishing-Warnungen im Rahmen der Arbeitsabläufe des mobilen Safari-Browsers.FalseTrueTrueTrue

macOS

Passwort und Authentifizierung

FunktionBeschreibungLevel 1Level 2Level 3Level 4
MindestlängeSetzt eine Mindestanzahl von Zeichen (6) durch, um den physischen Schlüsselraum zu erweitern.TrueTrueTrueTrue
Zeitlimit bei InaktivitätErzwingt automatisch die Sperrung mobiler Geräte bei Inaktivität (2 Minuten).TrueTrueTrueTrue
NachfristBeseitigt die Verzögerung beim Entsperren, um einen nicht authentifizierten Zugriff beim Aufwachen zu verhindern.TrueTrueTrueTrue
Maximale Anzahl fehlgeschlagener VersucheLöst nach wiederholten fehlgeschlagenen Versuchen (10) eine Hardware-Löschung aus, um Brute-Force-Angriffe zu verhindern.FalseTrueTrueTrue
Ablauf des PasscodesLegt eine maximale Lebensdauer (90 Tage) für den Code fest, um die Gefährdung durch durchgesickerte Pins zu begrenzen.FalseTrueTrueTrue
PasswortverlaufVerhindert die Wiederverwendung früherer Codes (10), um eine regelmässige Rotation der Anmeldedaten zu erzwingen.FalseTrueTrueTrue
Min. Anzahl komplexer ZeichenLegt eine Mindestanzahl (1) der erforderlichen Sonderzeichen/Zahlen fest.FalseTrueTrueTrue

Systemsicherheit und Firewall

FunktionBeschreibungLevel 1Level 2Level 3Level 4
AnwendungsfirewallAktiviert global die interne, auf der Host-Software basierende Socket-Firewall.TrueTrueTrueTrue
FileVault deaktivierenEntzieht explizit die lokalen Administratorrechte, um die Festplattenverschlüsselung zu deaktivieren.FalseTrueTrueTrue
GatekeeperErzwingt die Überprüfung der Anwendungsunterschriften über die native Gatekeeper-Prüfung.FalseFalseTrueTrue
GastkontoDeaktiviert die Standard-Sandbox-Benutzerprofile, um den anonymen Zugriff zu unterbinden.FalseFalseTrueTrue
Firewall-Stealth-ModusKonfiguriert die Firewall so, dass nicht verifizierte ICMP-Anfragen abgelehnt und Netzwerkscans ignoriert werden.FalseFalseFalseTrue
Bonjour MulticastDeaktiviert die Indizierung und die Bekanntgabe von Diensten im lokalen Netzwerk über mDNS.FalseFalseFalseTrue
Medien-BackupsFängt lokale Anwendungsverbindungen ab, um iTunes-Backups von Endnutzern zu unterbinden.FalseFalseFalseTrue

Safari-Browser

FunktionBeschreibungLevel 1Level 2Level 3Level 4
Safari-CookiesSteuert die Richtlinien zur Cookie-Zulassung (beschränkt das Tracking ausschliesslich auf besuchte Websites).TrueTrueTrueTrue
BetrugswarnungAktiviert vor dem Laden Abfragen gegen katalogisierte Phishing-Endpunkte.FalseTrueTrueTrue
Vollständige URL anzeigenZeigt den gesamten URL-Pfad an, um eine Verschleierung oder Fälschung der Domain zu verhindern.FalseTrueTrueTrue