Cortado Support

Meine Tickets Besuche www.cortado.com
Willkommen
Anmelden

So legen Sie eine minimale Integritätsstufe für Android-Geräte fest

Die Google Integritätsprüfung (Play Integrity API) für Android-Geräte steht ab sofort im Verwaltungsportal von Cortado zur Verfügung und löst damit die Google SafetyNet-Überprüfung ab. Mit Hilfe der Integritätsprüfung können Sie beispielsweise gerootete Geräte aufspüren, oder Geräte finden, deren Bootloader entsperrt wurde. Beides stellt ein Sicherheitsrisiko dar und vergrößert die Angriffsmöglichkeiten für Schadprogramme. Für Android-Geräte, die nicht den gewünschten Sicherheitsstandards entsprechen, können im Verwaltungsportal sowohl unter Einstellungen (für alle Geräte) als auch unter Richtlinien (für ausgewählte Nutzer/-innen/Gruppenvorlagen/Geräte) bestimmte Maßnahmen festgelegt werden. So kann zum Beispiel das Arbeitsprofil auf einem BYOD-Gerät auf Wunsch gesperrt oder gelöscht werden, sollte durch die Integritätsprüfung ein entsperrter Bootloader festgestellt worden sein.

Integritätsstufe prüfen

Aktionen für nicht-konforme Geräte festlegen

Integritätsstufe prüfen

  • Für jedes im Verwaltungsportal eingebundene Android-Gerät können Sie die von Google festgestellte Integritätsstufe einsehen.
  • Wählen Sie dafür das gewünschte Gerät unter Verwaltung→ Geräte aus.
  • Sie finden die Integritätsstufe und den Zeitpunkt der letzten Prüfung im Reiter Details (Pfeil im Bild).
Hinweis! Die Integritätsstufe eines Gerätes wird von Google ermittelt. Es kann mitunter etwas dauern bis das Ergebnis dieser Prüfung zu sehen ist. Unter Umständen steht hier vorläufig die Integritätsstufe Keine. Warten Sie in diesem Fall zunächst eine Weile und prüfen das Ergebnis zu einem späteren Zeitpunkt erneut. Solange keine Integritätsstufe festgestellt werden kann, werden auch keine Aktionen für nicht-konforme Geräte ausgeführt.

 Folgende Integritätsstufen für ein Gerät können von Google festgestellt werden:

  1. Hoch (hardwaregestützt) (Pfeil im oberen Bild): Die Cortado-App wird auf einem Android-Gerät ausgeführt, das von Google Play-Diensten unterstützt wird und eine hohe Garantie für die Systemintegrität aufweist, wie z. B. einen hardwaregestützten Nachweis der Boot-Integrität. Hardwaregestützt bedeutet, dass die Verschlüsselungscodes in einem separaten Speicher abgelegt werden,  auf den das Betriebssystem keinen Zugriff hat. Daher kann eine bösartige App keinen Zugriff darauf erhalten. Das Gerät besteht die Systemintegritätsprüfungen und erfüllt die Android-Kompatibilitätsanforderungen.
  2. Mittel (Gerät): Die Cortado-App wird auf einem Android-Gerät ausgeführt, das von den Google Play-Diensten unterstützt wird. Das Gerät besteht Systemintegritätsprüfungen und erfüllt die Android-Kompatibilitätsanforderungen. Der Werks-ROM ist installiert (z. B. durch Zurücksetzen des Geräts) und der Bootloader ist gesperrt.
  3. Niedrig (Basis): Die Cortado-App wird auf einem Gerät ausgeführt, das die grundlegenden Systemintegritätsprüfungen besteht. Das Gerät erfüllt möglicherweise nicht die Android-Kompatibilitätsanforderungen und ist möglicherweise nicht für die Ausführung von Google Play-Diensten zugelassen. Beispielsweise kann auf dem Gerät eine nicht anerkannte Android-Version ausgeführt werden, es kann einen entsperrten Bootloader haben oder vom Hersteller nicht zertifiziert worden sein.
  4. Kompromittiert (Pfeil im unteren Bild): Die Cortado-App wird auf einem Gerät ausgeführt, das die grundlegenden Systemintegritätsprüfungen nicht besteht. Das Gerät erfüllt möglicherweise nicht die Android-Kompatibilitätsanforderungen und ist möglicherweise nicht für die Ausführung von Google Play-Diensten zugelassen. Es wird ein Gerät verwendet, das Anzeichen eines Angriffs (z. B. API-Hooking) oder einer System-Kompromittierung (z. B. Rooting) aufweist, oder die App wird nicht auf einem physischen Gerät ausgeführt (z. B. auf einem Emulator, der die Integritätsprüfungen von Google Play nicht besteht).
  5. Keine: Die Integritätsstufe des Geräts konnte nicht ermittelt werden.

Aktion für nicht-konforme Geräte festlegen

Legen Sie fest, über welche minimale Integritätsstufe Android-Geräte verfügen müssen. Sollten Geräte mit einer niedrigeren Stufe, als der von Ihnen festgelegten gefunden werden, wird die von Ihnen zuvor ausgewählte Aktion ausgeführt.

Möchten Sie eine Aktion für nicht-konforme Geräte global, für alle im Verwaltungsportal eingebundenen Android-Geräte festlegen, gehen Sie wie folgt vor:

  • Wählen Sie Verwaltung→ Einstellungen→ Android Enterprise→ Konfigurieren.
  • Scrollen Sie hinunter bis zum Abschnitt Richtlinie zur Geräteintegrität (Pfeil im Bild).

Möchten Sie die Aktion für nicht-konforme Geräte stattdessen nur für bestimmte Nutzer/-innen/Gruppenvorlagen/Geräte festlegen, erstellen Sie stattdessen eine entsprechende Richtlinie für Android-Geräte.

  • Wählen Sie, über welche minimale Integritätsstufe ihre Android-Geräte verfügen müssen (Beispiel im Bild, oberer Pfeil).
  • Entscheiden Sie außerdem, was während und nach der Konfiguration der Android-Geräte passieren soll, wenn die Integritätsprüfung von Google eine niedrigere Integritätsstufe feststellt, als von Ihnen festgelegt (unterer Pfeil im Bild).

  • Gerät bzw. Arbeitsbereich sperren: Alle verwalteten Apps werden gesperrt.
  • Gerät zurücksetzen/Arbeitsbereich entfernen: Komplett verwaltete Geräte werden auf Werkseinstellungen zurückgesetzt. Bei Geräten mit Arbeitsprofil wird das Arbeitsprofil vom Gerät gelöscht.

In der Regel reicht es aus, die Option Gerät bzw. Arbeitsbereich sperren auszuwählen und anschließend am Gerät der Nutzer/-in zu überprüfen, welches Problem vorliegt.

Gesperrte Geräte können unter Verwaltung→ Geräte ausgewählt und mit Arbeitsbereich freischalten wieder entsperrt werden. Die Sperrung wiederholt sich allerdings nach 10 Minuten, wenn die Ursache für die Sperrung nicht beseitigt wurde.

Sie können diese Einstellungen auch in den Richtlinien für Android Enterprise vornehmen und dabei unterschiedliche Einstellungen für ausgewählte Nutzer/-innen, Gruppenvorlagen oder Geräte anwenden. Diese Richtlinien greifen dann aber unter Umständen erst 10 Minuten nach der Konfiguration der Geräte. Wird eine Konfiguration der Integritätsstufe in den Richtlinien vorgenommen, hat diese eine höhere Priorität als unter VerwaltungEinstellungen. Letztere gilt dann nur noch für diejenigen Nutzer/-innen, für die keine entsprechende Richtlinie erstellt und verteilt wurde.


War diese Antwort hilfreich? Ja Nein

Feedback senden
Leider konnten wir nicht helfen. Helfen Sie uns mit Ihrem Feedback, diesen Artikel zu verbessern.