Die Google-Endpunktverwaltung (GEM) bietet eine bequeme Möglichkeit, die Geräte Ihrer Organisation in derselben Google Admin-Konsole zu verwalten, über die Sie auch die Sicherheit, Dienste und Konten von Google Workspace verwalten. Welche Verwaltungsoptionen für Android-Geräte verfügbar sind, hängt von folgenden Faktoren ab:
- wie die Geräte eingerichtet sind
- ob Gerätenutzer der einfachen oder erweiterten Mobilgeräteverwaltung unterliegen
- ob Sie die Geräte dem unternehmenseigenen Bestand hinzufügen
- Die dem Gerätenutzer zugewiesene Google Workspace-Lizenz
Wir führen hier viele Begriffe für die Geräteverwaltung ein. Falls du nicht weiterweißt, steht am Ende dieser Seite eine Wortliste zur Verfügung.
Google-Endpunktverwaltung und Android Enterprise im Vergleich
Android Enterprise besteht aus einer Reihe von APIs, Entwicklertools und Administratorfunktionen, die es EMM-Anbietern (Enterprise Mobility Management) ermöglichen, Android-Geräte zu verwalten.Weitere Informationen finden Sie in der Hilfe zu Android für Unternehmen.
GEM ist ein EMM-Anbieter, der viele der in Android Enterprise verfügbaren Funktionen bietet. Beides sind jedoch unabhängig. In Android Enterprise sind möglicherweise mehr Funktionen verfügbar, die von EMMs implementiert werden können, als in GEM. Informationen zu den neuen Funktionen in GEM finden Sie unter Das ist neu bei der Google-Endpunktverwaltung.
Berechtigungen für die Android-Verwaltung
Die Optionen, die Ihnen bei Ihrem EMM-Anbieter zum Verwalten von Android-Geräten zur Verfügung stehen, und die Informationen, die Sie zu diesen Geräten erhalten, hängen davon ab, wie die Geräte eingerichtet sind. Durch die Einrichtung wird Ihre Berechtigung für die Verwaltung definiert. Ihre Organisation kann auf einem Gerät eine der folgenden Berechtigungen haben:
- Geräteeigentümer: Das Gerät ist als Arbeitsgerät eingerichtet und Sie haben die volle Kontrolle darüber. Dieser Modus gibt Ihnen die größte Kontrolle über die Daten und Apps auf einem Gerät und eignet sich am besten für Organisationen mit hohen Sicherheitsanforderungen.
Hinweis zu "Geräteeigentümerschaft": Ein Gerät, auf dem Sie Geräteeigentümerberechtigungen haben, wird möglicherweise von Ihrer Organisation erworben und dem Nutzer zur Verfügung gestellt. Das ist zum Beispiel bei einem Gerät der Fall, das mit Zero-Touch-Registrierung als reines Arbeitsgerät eingerichtet wurde. Oder es handelt sich um ein privates Gerät, das der Nutzer als Arbeitsgerät eingerichtet hat. In GEM werden unternehmenseigene Geräte nicht durch Ihre Verwaltungsberechtigung definiert. Unternehmenseigene Geräte sind Geräte, deren Seriennummern Sie dem unternehmenseigenen Bestand hinzufügen. Das sind normalerweise Geräte, die Ihre Organisation gekauft hat und für die Sie die Berechtigung „Geräteeigentümer“ haben.
- Profilinhaber: Das Gerät hat ein verwaltetes Arbeitsprofil, das vom privaten Bereich des Nutzers getrennt ist. Weitere Informationen zu Arbeitsprofilen finden Sie im nächsten Abschnitt. Sie haben die Kontrolle über die Apps und Daten im Arbeitsprofil, jedoch nicht im privaten Bereich. Verwenden Sie diesen Modus, wenn Ihre Organisation eine BYOD-Umgebung (Bring Your Own Device) verwenden möchte.
Hinweis: Android Enterprise unterstützt jetzt Arbeitsprofile auf unternehmenseigenen Geräten, GEM jedoch nicht.
- Geräteadministrator (eingestellt, nicht verfügbar für Android 10 und höher, nicht für Geräte mit erweiterter GEM-Mobilgeräteverwaltung verfügbar): Der Nutzer hat ein verwaltetes Konto im privaten Bereich auf seinem Gerät.
Einige GEM-Tools und -Einstellungen hängen von den Berechtigungen ab, die Sie auf dem Gerät haben. Wenn Sie beispielsweise die Berechtigung Profilinhaber für ein Gerät haben, können Sie das Arbeitskonto vom Gerät löschen, aber nicht die gesamten Gerätedaten.
Wenn Sie die Verwaltungsberechtigung für ein Gerät prüfen möchten, öffnen Sie in der Admin-Konsole die Detailseite des Geräts. Weitere Informationen finden Sie im Hilfeartikel Details zu Mobilgeräten abrufen.
Android-Arbeitsprofile
Android-Arbeitsprofile bieten Nutzern Datenschutz für ihre privaten Daten und Apps auf privaten Geräten, die sie auch beruflich nutzen. Im Arbeitsprofil können sich das verwaltete Konto und die Apps in einem separaten Bereich befinden, auf den die Geräteverwaltung keinen Zugriff hat. Die Verwaltungsberechtigung Ihrer Organisation ist "Profilinhaber"
Wenn Sie die erweiterte Mobilgeräteverwaltung in GEM aktivieren, werden Nutzer aufgefordert, ein Arbeitsprofil einzurichten, wenn sie ihr verwaltetes Konto auf einem privaten Android-Gerät (BYOD) hinzufügen. Weitere Informationen zur Einrichtung eines Arbeitsprofils finden Sie im Hilfeartikel Google Workspace auf einem Android-Gerät einrichten und unter Was ist ein Arbeitsprofil?.
Auf einem Gerät ist nur ein Arbeitsprofil zulässig.
- Wenn Sie keine Arbeitsprofile für Nutzer erzwingen möchten, können Sie die einfache Mobilgeräteverwaltung für ihre Organisationseinheit einrichten. Wenn Sie bereits die erweiterte Mobilgeräteverwaltung aktiviert haben, können Sie zur einfachen Mobilgeräteverwaltung wechseln. Bei der einfachen Mobilgeräteverwaltung stehen Ihnen weniger Verwaltungsfunktionen zur Verfügung. Weitere Informationen zu den Unterschieden finden Sie im nächsten Abschnitt.
- Wenn ein Nutzer mehr als ein verwaltetes Konto auf einem Gerät benötigt, z. B. ein Nutzer mit einem normalen Arbeitskonto und einem Administratorkonto, fügen Sie ihn einer Organisationseinheit hinzu, die für die einfache Mobilgeräteverwaltung eingerichtet ist.
Hinweis: Geräte mit der Berechtigung Geräteinhaber und einem Arbeitsprofil werden in GEM nicht unterstützt, obwohl diese Einrichtung jetzt eine Option in Android Enterprise ist.
Einfache und erweiterte Mobilgeräteverwaltung für Android-Geräte
Die Google-Endpunktverwaltung umfasst drei Ebenen der Mobilgeräteverwaltung: einfach, erweitert und nicht verwaltet. Sie können die Ebene der Mobilgeräteverwaltung für Nutzer nach Organisationseinheit festlegen. Mit der Option Benutzerdefiniert können Sie die Einstellung auch auf bestimmte Gerätetypen anwenden, die von Nutzern in der Organisationseinheit verwendet werden. Sie können beispielsweise Android-Geräte mit der erweiterten Mobilgeräteverwaltung, iPhones und iPads (iOS) mit der einfachen Mobilgeräteverwaltung und alle iOS-Geräte mit Google Sync mit der einfachen Mobilgeräteverwaltung einrichten.
Wichtig : Sie konfigurieren die Einstellung für die Mobilgeräteverwaltung nach Nutzer, also nach dem Konto, das dem Gerät hinzugefügt wird, und optional nach dem Gerätetyp. Sie können nicht unabhängig von einem Nutzerkonto die Ebene der Mobilgeräteverwaltung für eine bestimmte Gruppe von Geräten festlegen.
Einfache Mobilgeräteverwaltung
Die einfache Mobilgeräteverwaltung ist standardmäßig aktiviert. Sie können grundlegende Sicherheitscodeanforderungen festlegen, Apps verwalten (nur Android) und Details über Geräte abrufen, auf denen ein Arbeitskonto eingerichtet ist. Der Nutzer muss keine Verwaltungs-App auf seinem Gerät installieren oder ein Arbeitsprofil einrichten. Außerdem kann der Dienst mit einigen EMM-Drittanbietern kombiniert werden. Wenn Sie GEM als EMM-Anbieter verwenden möchten, sind in der einfachen Mobilgeräteverwaltung nur eingeschränkte Sicherheitsoptionen verfügbar. Weitere Informationen finden Sie im Hilfeartikel Funktionen der Mobilgeräteverwaltung im Vergleich.
Erweiterte Mobilgeräteverwaltung
Die erweiterte Mobilgeräteverwaltung ist erforderlich, um alle Funktionen der erweiterten Endpunktfunktionen und der Enterprise-Endpunktfunktionen zu verwenden. Um Sicherheitsrichtlinien durchzusetzen, muss der Nutzer auf seinem Gerät einen Verwaltungsclient einrichten und für private Geräte ein Arbeitsprofil installieren.
Hinweis : Die erweiterte Mobilgeräteverwaltung kann nicht zusammen mit anderen EMM-Anbietern, sondern nur mit GEM verwendet werden.
Keine Mobilgeräteverwaltung (nicht verwaltet)
Wenn die Mobilgeräteverwaltung für Android-Geräte deaktiviert ist, können Sie Nutzern weiterhin erlauben, ihr Arbeitskonto zum Gerät hinzuzufügen und auf ihre Arbeitsdaten zuzugreifen. Es stehen Ihnen jedoch keine Verwaltungsoptionen zur Verfügung. Sie können das Arbeitskonto nicht von dem Gerät löschen, wenn das Gerät verloren geht oder gestohlen wird, Sie können kein Passwort erzwingen und Geräte werden nicht in der Geräteliste der Admin-Konsole angezeigt.
Geräteeigentümerschaft
Einige GEM-Funktionen gelten nur für Geräte, die Sie in der Admin-Konsole als unternehmenseigen festgelegt haben. Wenn Sie sie als unternehmenseigene Geräte festlegen möchten, fügen Sie Geräte dem unternehmenseigenen Bestand hinzu. Damit GEM und die damit verbundenen Sicherheitsfunktionen wie der kontextsensitive Zugriff, ein Gerät als unternehmenseigenes Gerät erkennen, müssen Sie es dem unternehmenseigenen Bestand hinzufügen.
Diese Unternehmensinhaberschaft ist unabhängig von der Verwaltungsberechtigung Geräteeigentümer und davon, ob Ihre Organisation das Gerät gekauft hat (physisch besitzt).
Zero-Touch-Registrierung
Die Zero-Touch-Registrierung (ZTE) ist eine Android Enterprise-Funktion, mit der Organisationen automatisch vollständig verwaltete Geräte für Nutzer einrichten können. Sie ist unabhängig von der Google-Endpunktverwaltung, Sie können mit der Google-Endpunktverwaltung jedoch Geräte verwalten, die auf diese Weise eingerichtet wurden.
Mit ZTE kauft Ihre Organisation Geräte von unterstützten Resellern und richtet eine Konfiguration ein, die automatisch angewendet wird, wenn der Nutzer sein Konto auf dem Gerät hinzufügt.
Um ZTE-Geräte mit GEM zu verwalten, müssen sich die Nutzer dieser Geräte in Organisationseinheiten befinden, in denen die erweiterte Mobilgeräteverwaltung aktiviert ist (zumindest für Android-Geräte). Ihre Organisation verfügt über die Verwaltungsberechtigung Geräteeigentümer, aber GEM behandelt sie nur dann als unternehmenseigen, wenn Sie die Geräte dem unternehmenseigenen Bestand hinzufügen. Weitere Informationen finden Sie im Hilfeartikel Android-Geräte mit Zero-Touch-Registrierung bereitstellen.
Weitere Informationen zu ZTE im Allgemeinen finden Sie unter Zero-Touch-Registrierung für IT-Administratoren.
Wortliste
Begriffe für die Google-Endpunktverwaltung
- Erweiterte Mobilgeräteverwaltung: Mit dieser Einstellung haben Sie mehr Kontrolle über die Geräte der Nutzer, z. B. den Zugriff auf Netzwerke und Apps sowie Sicherheitseinstellungen und weitere Informationen zu diesen Geräten.
- Einfache Mobilgeräteverwaltung: Mit dieser Einstellung haben Sie eine minimale Kontrolle über die Geräte der Nutzer.
- Gehört dem Unternehmen: Ein Gerät, das Sie in der Admin-Konsole dem unternehmenseigenen Bestand hinzufügen.
- Google-Endpunktverwaltung (GEM): Der Anbieter von Enterprise-Mobility-Management, der in Google Workspace und Cloud Identity enthalten und in der Google Admin-Konsole verfügbar ist.
Android-Begriffe
- Android Enterprise: Funktionen und Tools, die Entwickler von Enterprise Mobility Management (EMM) zur Unterstützung der Android-Geräteverwaltung mit dem EMM verwenden
- Bring your own device (BYOD): Ein privates Gerät, dem ein Nutzer sein Arbeitskonto hinzufügt.
- Geräteeigentümer: Verwaltungsberechtigung, die dem Anbieter von Enterprise Mobility Management die vollständige Kontrolle über ein Gerät gewährt. Der Nutzer kann kein privates Konto hinzufügen.
- Enterprise Mobility Management-Anbieter (EMM): Ein Produkt, mit dem Ihre Organisation Sicherheitsrichtlinien festlegen, den Datenzugriff steuern und Apps auf Geräten verwalten kann.
- Vollständig verwaltetes Gerät: Android-Gerät, für das Ihre Organisation Geräteeigentümerberechtigungen hat.
- Verwaltungsberechtigung: Der Umfang der Kontrolle des Enterprise Mobility Management-Anbieters auf einem Gerät, entweder das gesamte Gerät (Geräteeigentümer) oder das Arbeitsprofil (Profilinhaber).
- Profilinhaber: Die Verwaltungsberechtigung, die dem Anbieter von Enterprise Mobility Management ermöglicht, nur das Arbeitsprofil auf einem Gerät zu steuern.
- Arbeitsprofil: separater Bereich auf dem privaten Android-Gerät eines Nutzers für seine geschäftlichen Apps und Daten. Ihre Organisation hat die Berechtigung Profilinhaber auf dem Gerät. Die privaten Apps und Daten des Nutzers sind getrennt und nicht für Ihre Organisation zugänglich.
- Zero-Touch-Registrierung (ZTE): Diese Funktion für Android Enterprise ermöglicht Unternehmen die automatische Einrichtung vollständig verwalteter Geräte für Nutzer.
Siehe auch Android Enterprise-Terminologie.