Mit der Google-Endpunktverwaltung (Google Endpoint Management, GEM) können Sie die Geräte Ihrer Organisation bequem in derselben Google Admin-Konsole verwalten, in der Sie auch die Sicherheit, Dienste und Konten von Google Workspace verwalten. Die Verwaltungsoptionen, die Ihnen für Android-Geräte zur Verfügung stehen, hängen von Folgendem ab:
- wie die Geräte eingerichtet sind
- ob der Gerätenutzer der einfachen oder erweiterten Mobilgeräteverwaltung unterliegt
- ob Sie die Geräte dem unternehmenseigenen Bestand hinzufügen
- die dem Gerätenutzer zugewiesene Google Workspace-Lizenz
Wir werden hier viele Begriffe zur Geräteverwaltung einführen. Wenn Sie sich verirren, finden Sie am Ende dieser Seite eine Wortliste.
Google-Endpunktverwaltung im Vergleich zu Android Enterprise
Android Enterprise ist eine Suite aus APIs, Entwicklertools und Administratorfunktionen, mit denen EMM-Anbieter (Enterprise Mobility Management) Android-Geräte verwalten können. Weitere Informationen zu Android Enterprise
GEM ist ein EMM-Anbieter, der viele der über Android Enterprise verfügbaren Funktionen bietet. Die beiden sind jedoch getrennt. Android Enterprise bietet möglicherweise mehr Funktionen, die von EMMs implementiert werden können, als in GEM verfügbar sind. Informationen zu neuen Funktionen in GEM finden Sie unter Das ist neu bei der Google-Endpunktverwaltung.
Android-Verwaltungsberechtigungen
Welche Optionen Sie bei Ihrem EMM-Anbieter zum Verwalten von Android-Geräten haben und welche Informationen Sie zu diesen Geräten erhalten, hängt davon ab, wie die Geräte eingerichtet sind. Bei der Einrichtung wird Ihre Verwaltungsberechtigung festgelegt.Ihre Organisation kann eine der folgenden Berechtigungen für ein Gerät haben:
Geräteeigentümer: Das Gerät ist nur für die Arbeit eingerichtet und Sie haben die volle Kontrolle darüber. In diesem Modus haben Sie die größte Kontrolle über die Daten und Apps auf einem Gerät. Er eignet sich am besten für Organisationen mit hohen Sicherheitsanforderungen.
Hinweis zur „Geräteeigentümerschaft“: Ein Gerät, auf dem Sie Geräteeigentümerberechtigungen haben, wird möglicherweise von Ihrer Organisation erworben und dem Nutzer zur Verfügung gestellt. Das ist zum Beispiel bei einem Gerät der Fall, das mit Zero-Touch-Registrierung als reines Arbeitsgerät eingerichtet wurde. Oder es handelt sich um ein privates Gerät, das der Nutzer als Arbeitsgerät eingerichtet hat. In GEM werden unternehmenseigene Geräte nicht durch Ihre Verwaltungsberechtigung definiert. Unternehmenseigene Geräte sind Geräte, deren Seriennummern Sie dem unternehmenseigenen Bestand hinzufügen. Das sind normalerweise Geräte, die Ihre Organisation gekauft hat und für die Sie die Berechtigung „Geräteeigentümer“ haben.
Profilinhaber: Auf dem Gerät ist ein verwaltetes Arbeitsprofil vorhanden, das vom privaten Bereich des Nutzers getrennt ist (weitere Informationen zu Arbeitsprofilen finden Sie im nächsten Abschnitt). Sie haben die Kontrolle über die Apps und Daten im Arbeitsprofil, aber nicht im privaten Profil. Verwenden Sie diesen Modus, wenn Ihre Organisation eine BYOD-Umgebung (Bring Your Own Device) wünscht.
Geräteadministrator (eingestellt, nicht verfügbar für Android 10 und höher, nicht für Geräte mit erweiterter GEM-Mobilgeräteverwaltung verfügbar): Der Nutzer hat ein verwaltetes Konto im privaten Bereich auf seinem Gerät.
Einige GEM-Tools und ‑Einstellungen hängen von der Berechtigung ab, die Sie auf dem Gerät haben. Wenn Sie beispielsweise die Berechtigung Profilinhaber für ein Gerät haben, können Sie das Arbeitskonto vom Gerät löschen, aber nicht das gesamte Gerät.
Wenn Sie die Verwaltungsberechtigung für ein Gerät prüfen möchten, öffnen Sie die Detailseite des Geräts in der Admin-Konsole. Weitere Informationen finden Sie im Hilfeartikel Details zu Mobilgeräten abrufen.
Android-Arbeitsprofile
Android-Arbeitsprofile bieten Nutzern Datenschutz für ihre privaten Daten und Apps auf einem privaten Gerät, das sie auch für die Arbeit verwenden. Im Arbeitsprofil befinden sich das verwaltete Konto und die Apps in einem separaten Bereich, auf den die Geräteverwaltung keinen Zugriff hat. Die Verwaltungsberechtigung Ihrer Organisation ist Profilinhaber.
Wenn Sie die erweiterte Mobilgeräteverwaltung in GEM aktivieren, werden Nutzer aufgefordert, ein Arbeitsprofil einzurichten, wenn sie ihr verwaltetes Konto einem privaten (BYOD-)Android-Gerät hinzufügen. Weitere Informationen zum Einrichten eines Arbeitsprofils finden Sie in den Hilfeartikeln Google Workspace auf einem Android-Gerät einrichten und Was ist ein Arbeitsprofil?.
Auf einem Gerät ist nur ein Arbeitsprofil zulässig.
- Wenn Sie keine Arbeitsprofile für Nutzer benötigen, richten Sie die einfache Mobilgeräteverwaltung für ihre Organisationseinheit ein. Wenn Sie die erweiterte Mobilgeräteverwaltung bereits aktiviert haben, können Sie zur einfachen Mobilgeräteverwaltung wechseln. Mit der einfachen Mobilgeräteverwaltung stehen Ihnen nicht so viele Verwaltungsfunktionen zur Verfügung. Weitere Informationen zu den Unterschieden finden Sie im nächsten Abschnitt.
- Wenn ein Nutzer mehr als ein verwaltetes Konto auf einem Gerät benötigt, z. B. ein Nutzer mit einem normalen Arbeitskonto und einem Administratorkonto, fügen Sie ihn einer Organisationseinheit hinzu, die für die einfache Mobilgeräteverwaltung eingerichtet ist.
Hinweis:Geräte mit der Berechtigung Geräteeigentümer werden in GEM nicht unterstützt, obwohl diese Einrichtung jetzt eine Option in Android Enterprise ist.
Einfache und erweiterte Mobilgeräteverwaltung für Android-Geräte
Die Google-Endpunktverwaltung bietet drei Stufen der Mobilgeräteverwaltung: einfach, erweitert oder nicht verwaltet. Sie können die Stufe der Mobilgeräteverwaltung für Nutzer nach Organisationseinheit festlegen. Mit der Option Benutzerdefiniert können Sie die Einstellung auch nur auf bestimmte Gerätetypen anwenden, die von Nutzern in der Organisationseinheit verwendet werden. Sie können beispielsweise Android-Geräte in der erweiterten Mobilgeräteverwaltung, iPhones und iPads (iOS) in der einfachen Mobilgeräteverwaltung und alle iOS-Geräte, die Google Sync verwenden, in der einfachen Mobilgeräteverwaltung haben.
Wichtig:Sie konfigurieren die Einstellung für die Mobilgeräteverwaltung nach Nutzer – dem Konto, das dem Gerät hinzugefügt wird – und optional nach Gerätetyp. Sie können die Stufe der Mobilgeräteverwaltung nicht für eine bestimmte Gruppe von Geräten unabhängig von einem Nutzerkonto festlegen.
Einfache Mobilgeräteverwaltung
Die einfache Mobilgeräteverwaltung ist standardmäßig aktiviert. Sie können damit grundlegende Anforderungen an Sicherheitscodes festlegen, Apps verwalten (nur Android) und Details zu Geräten mit Arbeitskonten abrufen. Der Nutzer muss keine Verwaltungs-App auf seinem Gerät installieren oder ein Arbeitsprofil einrichten. Außerdem kann die Lösung mit einigen EMM-Anbietern von Drittanbietern verwendet werden. Wenn Sie GEM als EMM-Anbieter verwenden möchten, bietet die einfache Mobilgeräteverwaltung nur eingeschränkte Sicherheitsoptionen. Weitere Informationen finden Sie im Hilfeartikel Funktionen der Mobilgeräteverwaltung im Vergleich.
Erweiterte Mobilgeräteverwaltung
Die erweiterte Mobilgeräteverwaltung ist erforderlich, um alle Funktionen der erweiterten Endpunktfunktionen und der Enterprise-Endpunktfunktionen nutzen zu können. Um Sicherheitsrichtlinien zu erzwingen, muss der Nutzer einen Verwaltungsclient auf seinem Gerät einrichten und auf privaten Geräten ein Arbeitsprofil installieren.
Hinweis:Die erweiterte Mobilgeräteverwaltung kann nicht zusammen mit anderen EMMs verwendet werden, sondern nur mit GEM.
Keine Mobilgeräteverwaltung (nicht verwaltet)
Wenn die Mobilgeräteverwaltung für Android-Geräte deaktiviert ist, können Sie Nutzern weiterhin erlauben, ihr Arbeitskonto dem Gerät hinzuzufügen und auf ihre Arbeitsdaten zuzugreifen. Sie haben jedoch keine Verwaltungsoptionen. Sie können das Arbeitskonto nicht vom Gerät löschen, wenn das Gerät verloren gegangen ist oder gestohlen wurde. Sie können kein Passwort erzwingen und Geräte werden nicht in der Geräteliste in der Admin-Konsole angezeigt.
Eigene Geräte
Einige GEM-Funktionen gelten nur für Geräte, die Sie in der Admin-Konsole als unternehmenseigen festgelegt haben. Wenn Sie sie als unternehmenseigen festlegen möchten, fügen Sie Geräte dem unternehmenseigenen Bestand hinzu. Damit GEM und zugehörige Sicherheitsfunktionen wie der kontextsensitiven Zugriff ein Gerät als unternehmenseigen erkennen, müssen Sie es beispielsweise dem unternehmenseigenen Bestand hinzufügen.
Diese Unternehmensinhaberschaft ist unabhängig von der Verwaltungsberechtigung Geräteeigentümer und davon, ob Ihre Organisation das Gerät gekauft hat (physisch besitzt).
Zero-Touch-Registrierung
Die Zero-Touch-Registrierung (ZTE) ist eine Android Enterprise-Funktion, mit der Organisationen automatisch vollständig verwaltete Geräte für Nutzer einrichten können. Sie ist unabhängig von der Google-Endpunktverwaltung, Sie können mit der Google-Endpunktverwaltung jedoch Geräte verwalten, die auf diese Weise eingerichtet wurden.
Bei der Zero-Touch-Registrierung kauft Ihre Organisation Geräte von unterstützten Resellern und richtet eine Konfiguration ein, die automatisch angewendet wird, wenn der Nutzer dem Gerät sein Konto hinzufügt.
Um ZTE-Geräte mit GEM zu verwalten, müssen sich die Nutzer dieser Geräte in Organisationseinheiten befinden, in denen die erweiterte Mobilgeräteverwaltung aktiviert ist (zumindest für Android-Geräte). Ihre Organisation verfügt über die Verwaltungsberechtigung Geräteeigentümer, aber GEM behandelt sie nur dann als unternehmenseigen, wenn Sie die Geräte dem unternehmenseigenen Bestand hinzufügen. Weitere Informationen finden Sie im Hilfeartikel Android-Geräte mit Zero-Touch-Registrierung bereitstellen.
Weitere Informationen zur Zero-Touch-Registrierung im Allgemeinen finden Sie unter Zero-Touch-Registrierung für IT-Administratoren.
Wortliste
Begriffe für die Google-Endpunktverwaltung
- Erweiterte Mobilgeräteverwaltung: Mit dieser Einstellung haben Sie mehr Kontrolle über die Geräte der Nutzer, z. B. über den Zugriff auf Netzwerke und Apps sowie über Sicherheitseinstellungen. Außerdem erhalten Sie mehr Informationen zu diesen Geräten.
- Einfache Mobilgeräteverwaltung: Mit dieser Einstellung haben Sie eine minimale Kontrolle über die Geräte der Nutzer.
- Gehört dem Unternehmen: Ein Gerät, das Sie in der Admin-Konsole dem unternehmenseigenen Bestand hinzufügen.
- Google-Endpunktverwaltung (GEM): Der Anbieter von Enterprise-Mobility-Management, der in Google Workspace und Cloud Identity enthalten und in der Google Admin-Konsole verfügbar ist.
Android-Bedingungen
- Android Enterprise: Die Funktionen und Tools, die EMM-Entwickler (Enterprise Mobility Management) verwenden, um die Verwaltung von Android-Geräten mit dem EMM zu unterstützen.
- Nutzung eigener Geräte (Bring Your Own Device, BYOD): Ein privates Gerät, dem ein Nutzer sein Arbeitskonto hinzufügt.
- Geräteeigentümer: Die Verwaltungsberechtigung, die dem Enterprise Mobility Management-Anbieter die vollständige Kontrolle über ein Gerät gibt. Der Nutzer kann kein privates Konto hinzufügen.
- EMM-Anbieter (Enterprise Mobility Management): Ein Produkt, mit dem Ihre Organisation Sicherheitsrichtlinien festlegen, den Datenzugriff steuern und Apps auf Geräten verwalten kann.
- Vollständig verwaltetes Gerät: Ein Android-Gerät, für das Ihre Organisation die Berechtigungen des Geräteinhabers hat.
- Verwaltungsberechtigung: Der Umfang der Kontrolle des Enterprise Mobility Management-Anbieters auf einem Gerät, entweder das gesamte Gerät (Geräteeigentümer) oder das Arbeitsprofil (Profilinhaber).
- Profilinhaber: Die Verwaltungsberechtigung, die dem Enterprise Mobility Management-Anbieter die Kontrolle über das Arbeitsprofil auf einem Gerät ermöglicht.
- Arbeitsprofil: Ein separater Bereich auf dem privaten Android-Gerät eines Nutzers für seine geschäftlichen Apps und Daten. Ihre Organisation hat die Berechtigung Profilinhaber auf dem Gerät. Die privaten Apps und Daten des Nutzers sind getrennt und für Ihre Organisation nicht zugänglich.
- Zero-Touch-Registrierung: Diese Funktion für Android Enterprise ermöglicht Unternehmen die automatische Einrichtung vollständig verwalteter Geräte für Nutzer.
Siehe auch Android Enterprise-Terminologie.