Mit der Google-Endpunktverwaltung (Google Endpoint Management, GEM) können Sie die Geräte Ihrer Organisation in derselben Admin-Konsole verwalten, in der Sie auch die Sicherheit, Dienste und Konten von Google Workspace verwalten. Die Verwaltungsoptionen, die Ihnen für Android-Geräte zur Verfügung stehen, hängen von den folgenden Faktoren ab:
- Wie die Geräte eingerichtet sind
- ob Gerätenutzer der einfachen oder erweiterten Mobilgeräteverwaltung unterliegen
- ob Sie die Geräte dem unternehmenseigenen Bestand hinzufügen
- Welche Google Workspace-Lizenz dem Gerätenutzer zugewiesen ist
Hier werden viele Begriffe zur Geräteverwaltung eingeführt. Wenn Sie den Überblick verlieren, finden Sie am Ende dieser Seite eine Wortliste.
Google-Endpunktverwaltung im Vergleich zu Android Enterprise
Android Enterprise ist eine Suite von APIs, Entwicklertools und Administratorfunktionen, mit denen EMM-Anbieter (Enterprise Mobility Management) Android-Geräte verwalten können. Weitere Informationen zu Android Enterprise.
GEM ist ein EMM-Anbieter, der viele der Funktionen bietet, die über Android Enterprise verfügbar sind. Die beiden sind jedoch getrennt. Android Enterprise bietet möglicherweise mehr Funktionen, die von EMMs implementiert werden können, als in GEM verfügbar sind. Informationen zu neuen Funktionen in GEM finden Sie im Hilfeartikel Das ist neu bei der Google-Endpunktverwaltung.
Android-Verwaltungsberechtigungen
Die Optionen, die Sie in Ihrem EMM-Anbieter zum Verwalten von Android-Geräten haben, und die Informationen, die Sie zu diesen Geräten erhalten, hängen davon ab, wie die Geräte eingerichtet sind. Die Einrichtung definiert Ihre Verwaltungsberechtigung.Ihre Organisation kann eine der folgenden Berechtigungen für ein Gerät haben:
Geräteeigentümer : Das Gerät ist nur für die Arbeit eingerichtet und Sie haben die vollständige Kontrolle darüber. In diesem Modus haben Sie die größte Kontrolle über die Daten und Apps auf einem Gerät. Er eignet sich am besten für Organisationen mit hohen Sicherheitsanforderungen.
Hinweis zu „Geräteeigentümerschaft“: Ein Gerät, auf dem Sie Geräteeigentümerberechtigungen haben, wird möglicherweise von Ihrer Organisation erworben und dem Nutzer zur Verfügung gestellt. Das ist zum Beispiel bei einem Gerät der Fall, das mit Zero-Touch-Registrierung als reines Arbeitsgerät eingerichtet wurde. Oder es handelt sich um ein privates Gerät, das der Nutzer als Arbeitsgerät eingerichtet hat. In GEM werden unternehmenseigene Geräte nicht durch Ihre Verwaltungsberechtigung definiert. Unternehmenseigene Geräte sind Geräte, deren Seriennummern Sie dem unternehmenseigenen Bestand hinzufügen. Das sind normalerweise Geräte, die Ihre Organisation gekauft hat und für die Sie die Berechtigung „Geräteeigentümer“ haben.
Profilinhaber : Auf dem Gerät ist ein verwaltetes Arbeitsprofil vorhanden, das von dem privaten Bereich des Nutzers getrennt ist. Weitere Informationen zu Arbeitsprofilen finden Sie im nächsten Abschnitt. Sie haben die Kontrolle über die Apps und Daten im Arbeitsprofil, aber nicht im privaten Bereich. Verwenden Sie diesen Modus, wenn Ihre Organisation eine BYOD-Umgebung (Bring Your Own Device) wünscht.
Geräte administrator–(eingestellt, nicht verfügbar für Android 10 und höher, nicht für Geräte mit erweiterter GEM Mobilgeräteverwaltung verfügbar): Der Nutzer hat ein verwaltetes Konto im privaten Bereich auf seinem Gerät.
Einige GEM-Tools und ‑Einstellungen hängen von der Berechtigung ab, die Sie für das Gerät haben. Wenn Sie beispielsweise die Berechtigung Profilinhaber für ein Gerät haben, können Sie das Arbeitskonto vom Gerät entfernen, aber nicht das gesamte Gerät.
Wenn Sie die Verwaltungsberechtigung für ein Gerät überprüfen möchten, öffnen Sie in der Admin-Konsole die Detailseite des Geräts. Weitere Informationen finden Sie im Hilfeartikel Details zu Mobilgeräten abrufen.
Android-Arbeitsprofile
Android-Arbeitsprofile bieten Nutzern Datenschutz für ihre privaten Daten und Apps auf einem privaten Gerät, das sie auch für die Arbeit verwenden. Mit dem Arbeitsprofil können sie ihr verwaltetes Konto und ihre Apps in einem separaten Bereich verwenden, auf den die Geräteverwaltung keinen Zugriff hat. Die Verwaltungsberechtigung Ihrer Organisation ist Profilinhaber.
Wenn Sie die erweiterte Mobilgeräteverwaltung in GEM aktivieren, werden Nutzer aufgefordert, ein Arbeitsprofil einzurichten, wenn sie ihrem privaten Android-Gerät (BYOD) ihr verwaltetes Konto hinzufügen. Weitere Informationen zum Einrichten eines Arbeitsprofils finden Sie in den Hilfeartikeln Google Workspace auf einem Android-Gerät einrichten und Was ist ein Arbeitsprofil?.
Auf einem Gerät ist nur ein Arbeitsprofil zulässig.
- Wenn Sie keine Arbeitsprofile für Nutzer erzwingen möchten, legen Sie für ihre Organisationseinheit die einfache Mobilgeräte verwaltung fest. Wenn Sie die erweiterte Mobilgeräteverwaltung bereits aktiviert haben, können Sie zur einfachen Mobilgeräteverwaltung wechseln. Mit der einfachen Mobilgeräteverwaltung stehen Ihnen weniger Verwaltungsfunktionen zur Verfügung. Weitere Informationen zu den Unterschieden finden Sie im nächsten Abschnitt.
- Wenn ein Nutzer mehr als ein verwaltetes Konto auf einem Gerät benötigt, z. B. ein Nutzer mit einem normalen Arbeitskonto und einem Administratorkonto, fügen Sie ihn einer Organisationseinheit hinzu, die für die einfache Mobilgeräteverwaltung eingerichtet ist.
Hinweis:Geräte mit der Berechtigung Geräteeigentümer werden in GEM nicht unterstützt, obwohl diese Einrichtung jetzt eine Option in Android Enterprise ist.
Einfache und erweiterte Mobilgeräteverwaltung für Android-Geräte
Die Google-Endpunktverwaltung bietet drei Stufen der Mobilgeräteverwaltung: einfach, erweitert oder nicht verwaltet. Sie können die Stufe der Mobilgeräteverwaltung für Nutzer nach Organisationseinheit festlegen. Mit der Option Benutzerdefiniert können Sie die Einstellung auch nur auf bestimmte Gerätetypen anwenden, die von Nutzern in der Organisationseinheit verwendet werden. Sie können beispielsweise festlegen, dass für Android-Geräte die erweiterte Mobilgeräteverwaltung gilt, für iPhones und iPads (iOS) die einfache Mobilgeräteverwaltung und für alle iOS-Geräte, die Google Sync verwenden, ebenfalls die einfache Mobilgeräteverwaltung.
Wichtig:Sie konfigurieren die Einstellung für die Mobilgeräteverwaltung nach Nutzer (das Konto , das dem Gerät hinzugefügt wird) und optional nach Gerätetyp. Sie können die Stufe der Mobilgeräteverwaltung nicht für eine bestimmte Gruppe von Geräten festlegen, unabhängig von einem Nutzerkonto.
Einfache Mobilgeräteverwaltung
Die einfache Mobilgeräteverwaltung ist standardmäßig aktiviert. Damit können Sie grundlegende Anforderungen an Sicherheitscodes festlegen, Apps verwalten (nur Android) und Details zu Geräten mit Arbeitskonten abrufen. Der Nutzer muss keine Verwaltungs-App auf seinem Gerät installieren oder ein Arbeitsprofil einrichten. Die einfache Mobilgeräteverwaltung kann mit einigen EMM-Anbietern von Drittanbietern verwendet werden. Wenn Sie GEM als EMM-Anbieter verwenden möchten, bietet die einfache Mobilgeräteverwaltung nur begrenzte Sicherheitsoptionen. Weitere Informationen finden Sie im Hilfeartikel Funktionen der Mobilgeräteverwaltung im Vergleich.
Erweiterte Mobilgeräteverwaltung
Die erweiterte Mobilgeräteverwaltung ist erforderlich, um alle Funktionen der erweiterten Endpunktverwaltung und der Enterprise-Endpunktverwaltung zu nutzen. Um Sicherheitsrichtlinien durchzusetzen, muss der Nutzer einen Verwaltungsclient auf seinem Gerät einrichten und bei privaten Geräten ein Arbeitsprofil installieren.
Hinweis:Die erweiterte Mobilgeräteverwaltung kann nicht mit anderen EMMs verwendet werden, sondern nur mit GEM.
Keine Mobilgeräteverwaltung (nicht verwaltet)
Wenn die Mobilgeräteverwaltung für Android-Geräte deaktiviert ist, können Nutzer trotzdem ihr Arbeitskonto dem Gerät hinzufügen und auf ihre Arbeitsdaten zugreifen. Sie haben jedoch keine Verwaltungsoptionen. Sie können das Arbeitskonto nicht vom Gerät entfernen, wenn das Gerät verloren geht oder gestohlen wird, Sie können kein Passwort erzwingen und Sie sehen keine Geräte in der Geräteliste in der Admin-Konsole.
Geräteeigentümerschaft
Einige GEM-Funktionen gelten nur für Geräte, die Sie in der Admin-Konsole als unternehmenseigen festgelegt haben. Um sie als unternehmenseigen festzulegen, fügen Sie Geräte dem unternehmenseigenen Bestand hinzu. Wenn beispielsweise GEM und zugehörige Sicherheitsfunktionen wie der kontextsensitive Zugriff ein Gerät als unternehmenseigen erkennen sollen, müssen Sie es dem unternehmenseigenen Bestand hinzufügen.
Diese Unternehmensinhaberschaft ist unabhängig von der Verwaltungsberechtigung Geräteeigentümer und davon, ob Ihre Organisation das Gerät gekauft hat (physisch besitzt).
Zero-Touch-Registrierung
Die Zero-Touch-Registrierung (ZTE) ist eine Android Enterprise-Funktion, mit der Organisationen automatisch vollständig verwaltete Geräte für Nutzer einrichten können. Sie ist unabhängig von der Google-Endpunktverwaltung, Sie können mit der Google-Endpunktverwaltung jedoch Geräte verwalten, die auf diese Weise eingerichtet wurden.
Mit ZTE kauft Ihre Organisation Geräte von unterstützten Händlern und richtet eine Konfiguration ein, die automatisch angewendet wird, wenn der Nutzer sein Konto dem Gerät hinzufügt.
Um ZTE-Geräte mit GEM zu verwalten, müssen sich die Nutzer dieser Geräte in Organisationseinheiten befinden, in denen die erweiterte Mobilgeräteverwaltung aktiviert ist (zumindest für Android-Geräte). Ihre Organisation verfügt über die Verwaltungsberechtigung Geräteeigentümer, aber GEM behandelt sie nur dann als unternehmenseigen, wenn Sie die Geräte dem unternehmenseigenen Bestand hinzufügen. Weitere Informationen finden Sie im Hilfeartikel Android-Geräte mit Zero-Touch Registrierung bereitstellen.
Weitere Informationen zu ZTE im Allgemeinen finden Sie im Hilfeartikel Zero-Touch-Registrierung für IT Administratoren.
Wortliste
Begriffe für die Google-Endpunktverwaltung
- Erweiterte Mobilgeräteverwaltung: Mit dieser Einstellung haben Sie mehr Kontrolle über die Geräte der Nutzer. Sie können beispielsweise den Zugriff auf Netzwerke und Apps sowie Sicherheitseinstellungen steuern und erhalten mehr Informationen zu diesen Geräten.
- Einfache Mobilgeräteverwaltung: Mit dieser Einstellung haben Sie eine minimale Kontrolle über die Geräte der Nutzer.
- Gehört dem Unternehmen : Ein Gerät, das Sie in der Admin-Konsole dem unternehmenseigenen Bestand hinzufügen.
- Google-Endpunktverwaltung (GEM): Der Anbieter von Enterprise-Mobility-Management, der in Google Workspace und Cloud Identity enthalten und in Ihrer Google Admin-Konsole verfügbar ist.
Android-Begriffe
- Android Enterprise : Die Funktionen und Tools, die EMM-Entwickler (Enterprise Mobility Management) verwenden, um die Android-Geräteverwaltung mit dem EMM zu unterstützen.
- BYOD (Bring Your Own Device) : Ein privates Gerät, dem ein Nutzer sein Arbeitskonto hinzufügt.
- Geräteeigentümer : Die Verwaltungsberechtigung, die dem EMM-Anbieter die vollständige Kontrolle über ein Gerät gibt. Der Nutzer kann kein privates Konto hinzufügen.
- EMM-Anbieter (Enterprise Mobility Management): Ein Produkt, mit dem Ihre Organisation Sicherheitsrichtlinien festlegen, den Datenzugriff steuern und Apps auf Geräten verwalten kann.
- Vollständig verwaltetes Gerät : Ein Android-Gerät, für das Ihre Organisation die Berechtigung „Geräteeigentümer“ hat.
- Verwaltungsberechtigung: Der Umfang der Kontrolle des EMM-Anbieters auf einem Gerät, entweder das gesamte Gerät (Geräteeigentümer) oder das Arbeitsprofil (Profilinhaber).
- Profilinhaber : Die Verwaltungsberechtigung, die dem Unternehmen Mobilitätsmanagementanbieter die Kontrolle nur über das Arbeitsprofil auf einem Gerät gibt.
- Arbeitsprofil: Ein separater Bereich auf dem privaten Android-Gerät eines Nutzers für seine Arbeits-Apps und ‑Daten. Ihre Organisation hat die Berechtigung Profilinhaber für das Gerät. Die privaten Apps und Daten des Nutzers sind getrennt und für Ihre Organisation nicht zugänglich.
- Zero-Touch-Registrierung : Eine Android Enterprise-Funktion, mit der Organisationen automatisch vollständig verwaltete Geräte für Nutzer einrichten können.
Siehe auch Android Enterprise Terminologie.