Workspace ONE UEM-Profile für Windows

In Workspace ONE UEM sind Profile die primäre Möglichkeit zur Verwaltung und Konfiguration Ihrer Windows-Geräte. Erhalten Sie Informationen zu verschiedenen Profilen, die eine Verbindung zu Ressourcen herstellen, Ressourcen schützen, Geräte einschränken und kontrollieren und die spezifisch für Dell sind.

Was sind Profile

Sie können Profile als Einstellungen und Regeln betrachten, die Ihnen zusammen mit Konformitätsrichtlinien dabei helfen, betriebliche Regeln und Verfahren durchzusetzen. Sie enthalten Einstellungen, Konfigurationen und Restriktionen, die Sie auf Geräten durchsetzen sollten.

Ein Profil besteht aus den allgemeinen Profileinstellungen und einer spezifischen Nutzlast. Profile funktionieren am besten, wenn sie nur eine einzige Nutzlast enthalten. In Workspace ONE UEM Console finden Sie sowohl Benutzer- als auch Geräteprofile unter: Ressourcen > Profile und Baselines > Profile.

Benutzer- oder Geräteebene

Windows Desktop-Profile werden auf Benutzerebene oder Geräteebene auf ein Gerät angewendet. Bei der Erstellung von Windows Desktop-Profilen wählen Sie die Ebene aus, auf die das Profil angewendet werden soll. Einige Profile sind nicht für beide Ebenen verfügbar, d. h., Sie können sie nur auf der Benutzerebene oder nur auf der Geräteebene anwenden. Workspace ONE UEM Console identifiziert, welche Profile auf welcher Ebene verfügbar sind. Die folgende Liste zeigt einige Einschränkungen für die erfolgreiche Verwendung von Geräte- und Benutzerprofilen.

• Workspace ONE UEM führt Befehle aus, die auf den Gerätekontext angewendet werden. Dies gilt selbst dann, wenn das Gerät keine aktive Anmeldung eines registrierten Benutzers aufweist.
• Benutzerspezifische Profile erfordern eine aktive Anmeldung eines registrierten Benutzers.

Es gibt einige Standardprofile und Befehle, die Sie zum Einrichten und Steuern des Geräts verwenden können. Das folgende Diagramm zeigt Befehle für das Profil und die Konsole, die keinen aktiven Windows-Benutzer mehr benötigen, um sie auszuführen.

Profilname	Wird ohne aktiven Windows-Benutzer installiert
Kennwort	Ja
WLAN	Ja
VPN	Ja
Anmeldedaten	Ja
Restriktion	Ja
Defender Exploit Guard	Ja
Datenschutz	Ja
Windows Hello	Ja
Firewall	Ja
Verschlüsselung	Ja
Antivirus	Ja
Windows Updates	Ja
Proxy	Ja
SCEP	Ja
Anwendungssteuerung	Ja
Windows-Lizenzierung	Ja
Benutzerdefiniertes Profil (HUB und OMA-DM)	Ja
Kiosk	Ja
Personalisierung	Ja
Peerverteilung	Ja
Unified-Writer-Filter	Ja

Konsolenaktion	Funktioniert mit ohne aktiven Windows-Benutzer
Gerätesicherheit	Ja
Windows-Informationen	Ja
Integritätsnachweis	Ja
Verfügbare BS-Updates	Ja
Hub-Check-in	Ja
Zertifikatslistenprobe	Ja
Sicherheitsinformationen	Ja
Information	Ja
App-Listenprobe – HUB	Ja
App-Listenprobe – OMA-DM	Ja
Sensor	Ja
Workflow	Ja
Zeitfenster	Ja
Neu starten	Ja
Unternehmensdaten löschen	Ja
Gerät zurücksetzen	Ja
Enterprise-Zurücksetzung	Ja
Geräteprotokoll anfordern	Ja

Neue Profiloptionen zum Konfigurieren von Windows Benutzer- und Geräteprofilen

Wir haben Ihre Optionen zur Zuweisung von Benutzer- und Geräteprofilen aktualisiert, indem wir einen zweiten Windows (Beta)-Plattform-Builder hinzugefügt haben. Wenn Sie in der Konsole ein Benutzer- oder ein Geräteprofil hinzufügen, müssen Sie entweder die Windows- oder die Windows(Beta)-Plattform auswählen. Navigation: Ressourcen > Profile und Baselines > Profile > Hinzufügen > Profil hinzufügen > Windows -ODER- Windows (Beta)

Windows-Plattformoption

Mithilfe dieser Plattformoption können Sie weiterhin Benutzer- und Geräteprofile mit benutzerdefinierten Einstellungen und der Integration mit dem Workspace ONE Intelligent Hub hinzufügen und anpassen. Wenn Sie benutzerdefinierte Einstellungen über die Intelligent Hub konfiguriert haben, verwenden Sie diese Option weiterhin, anstatt auf die neuen Windows(Beta)-Plattformoptionen zu migrieren, da die Betaversion zu diesem Zeitpunkt nicht alle benutzerdefinierten Einstellungen unterstützt.

Windows(Beta)-Plattformoption

Migrieren Sie zu dieser Plattformoption, wenn Sie keine benutzerdefinierten Einstellungen für Ihre Benutzer- und Geräteprofile verwenden. Wenn Sie ein Profil hinzufügen, können Sie nach den Optionen systemeigener Microsoft Configuration Service Providers (CSPs) suchen und sie dann nach Bedarf auf Ihre Profile anwenden. Zukünftige Verbesserungen werden vorgenommen, z. B. das Hinzufügen von VMware-Vorlagen, die derzeit ein Funktions-Flag enthalten.

Benutzerdefinierte Einstellungen werden derzeit nicht unterstützt. Eine vollständige Liste der CSPs-Details finden Sie auf der Website von Microsoft: Policy CSP details.

Native Microsoft-Vorlage

Unter der Windows(Beta)-Plattformoption ist die native Microsoft-Vorlage ohne Funktions-Flag verfügbar. Die Registerkarte Microsoft Native bietet Ihnen die Möglichkeit, bei Bedarf andere Optionen für systemeigene Microsoft-CSPs zu suchen und anzuwenden. Im Dropdown-Menü Accounts zeigt eine hinzugefügte Funktion die unterstützte Windows Versionsinformation an (sofern Microsoft sie bereitgestellt hat).

Funktions-Flag – VMware-Vorlagen

Unter der Windows(Beta)-Plattformoption wie der nativen Microsoft-Vorlage, jedoch hinter einem Funktions-Flag haben wir VMware-DDUI-Vorlagen (Data-Driven User Interface) erstellt. Die Registerkarte „VMware Templates“ bietet Ihnen als Administrator detailliertere Optionen, um eine tiefere Anpassungsebene für einige der systemeigenen Microsoft-CSPs mit vorkonfigurierten Einstellungen festzulegen sowie die Möglichkeit zu erhalten, drei unserer gängigsten Konfigurationen anzupassen. Dies gelingt unter: Übermittlungsoptimierung, Patch-Verwaltung und Proxy. Mithilfe der Umschalter in diesen Abschnitten können Sie die vorkonfigurierten Einstellungen nach Bedarf anpassen.

Hinweis: Wenn Sie beide Registerkarten (Microsoft Native und VMware-Vorlagen) konfigurieren, stellen Sie sicher, dass die Elemente in den VMware-Vorlagen NICHT auch unter der systemeigenen Microsoft-Registerkarte festgelegt sind, da sie sonst die anderen überschreiben und/oder ein Problem erzeugen könnten.

Antivirus-Profil

Erstellen Sie ein Antivirus-Profil, um den systemeigenen Virenschutz Windows Defender auf Windows Desktop-Geräten zu konfigurieren. Die für all Ihre Geräte konfigurierte Windows Defender-Anwendung stellt sicher, dass Ihre Endbenutzer bei der Nutzung des Geräts geschützt sind.

Wichtiger Hinweis: Dieses Profil konfiguriert nur den systemeigenen Windows Defender, keine anderen Antivirus-Appliances von Drittanbietern.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.
   

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Antivirus-Profil:

6. Konfigurieren Sie die Antivirus-Einstellungen:

   Einstellungen	Beschreibungen
   Echtzeitüberwachung	Aktivieren Sie diese Option zum Konfigurieren von Windows Defender Antivirus für die Überwachung des Geräts in Echtzeit.
   Echtzeit-Prüfrichtung	Aktivieren Sie diese Option, um Windows Defender Antivirus zum Überwachen von eingehenden Dateien, ausgehenden Dateien oder allen Dateien zu konfigurieren. Verwenden Sie diese Option, um die Netzwerkleistung für die Server oder Serverrollen zu verbessern, die Sie für die Windows Server-Installationen definiert haben, die Datenverkehr in einer Richtung verarbeiten.
   Cloud-Schutzebene	Aktivieren Sie diese Option, um zu konfigurieren, wie aggressiv Windows Defender Antivirus beim Blockieren von verdächtigen Dateien vorgeht. Berücksichtigen Sie beim Festlegen dieses Menüelements die Netzwerkleistung.
   Cloud-Blockierungs-Zeitüberschreitung	Wählen Sie eine Zeit (in Sekunden) aus, über die eine Datei blockiert bleiben soll, während Windows Defender Antivirus ihr Bedrohungspotenzial analysiert. Die Standard-Blockierungszeit beträgt 10 Sekunden. Das System fügt die Sekunden, die in diesem Menüpunkt festgelegt sind, zur Standardzeit hinzu.
   Signaturaktualisierung	Signaturaktualisierung in Stunden Signaturaktualisierungsdatei teilt Quellen Vor dem Scannen auf Signatur prüfen Reihenfolge der Ausweichmöglichkeit für Signaturaktualisierung
   Scan-Intervall	Vollscan: Aktivieren Sie diese Option, um festzulegen, wann ein vollständiger Systemscan ausgeführt werden soll. Wählen Sie das Zeitintervall (in Stunden) zwischen Scans aus. Schnelle Suche - Aktivieren der Planung, wenn ein schneller Systemscan läuft. Wählen Sie das Zeitintervall (in Stunden) zwischen Scans aus.
   Ausschlüsse	Wählen Sie die Dateipfade oder -vorgänge, um die Windows Defender Antivirus-Scans auszuschließen. Wählen Sie Neu hinzufügen, um eine Ausnahme hinzuzufügen.
   Standardaktion bei Gefährdung (niedrige, mittlere, hohe, schwerwiegende Gefährdungen)	Legen Sie die Standardaktion für die verschiedenen Gefährdungsstufen fest, die während der Scans festgestellt werden. Reinigen – Wählen Sie diese Option aus, um die mit der Gefährdung verbundenen Probleme zu bereinigen. Quarantäne – Wählen Sie diese Option aus, um die Gefährdung in einen separaten Quarantäne-Ordner zu verschieben. Entfernen – Wählen Sie diese Option aus, um die Gefährdung aus Ihrem System zu entfernen. Zulassen – Wählen Sie diese Option aus, um die Gefährdung beizubehalten. Benutzerdefiniert – Wählen Sie diese Option aus, um den Benutzer entscheiden zu lassen, wie mit der Gefährdung umgegangen werden soll. Keine Aktion – Wählen Sie diese Option aus, um keine Aktion für die Gefährdung durchzuführen. Blockieren – Wählen Sie diese Option aus, um den Zugriff auf dem Gerät für die Gefährdung zu blockieren.
   Erweitert	Scan durchschn. CPU-Last-Faktor - Legen Sie den maximalen durchschnittlichen Prozentsatz der CPU-Last fest, den Windows Defender bei Scans in Anspruch nehmen kann. UI-Sperrung – Aktivieren Sie diese Option, um die Benutzeroberfläche (UI) vollständig zu sperren, sodass Endanwender keine Einstellungen ändern können. Catchup-Vollscan – Aktivieren Sie diese Option, um die Ausführung eines Vollscans zuzulassen, der zuvor unterbrochen oder nicht ausgeführt wurde. Ein Catchup-Scan ist ein Scan, der initiiert wird, weil ein regelmäßig geplanter Scan nicht ausgeführt wurde. In der Regel werden derartige geplante Scans nicht ausgeführt, weil der Computer zu dem Zeitpunkt der geplanten Durchführung ausgeschaltet war. Catchup-Schnellscan – Aktivieren Sie diese Option, um die Ausführung eines Schnellscans zuzulassen, der zuvor unterbrochen oder nicht ausgeführt wurde. Ein Catchup-Scan ist ein Scan, der initiiert wird, weil ein regelmäßig geplanter Scan nicht ausgeführt wurde. In der Regel werden derartige geplante Scans nicht ausgeführt, weil der Computer zu dem Zeitpunkt der geplanten Durchführung ausgeschaltet war. Verhaltensüberwachung – Aktivieren Sie diese Option, um festzulegen, dass der Virusscanner ein Aktivitätsprotokoll an Microsoft sendet. Angriffspräventionssystem – Aktivieren Sie diese Option, um den Netzwerkschutz vor Gefährdung durch bekannte Sicherheitsrisiken zu konfigurieren. Diese Option aktiviert Windows-Defender-Antivirus, um die Verbindungen kontinuierlich zu überwachen und potentielle schädliche Verhaltensmuster zu identifizieren. Diesbezüglich verhält sich die Software wie ein klassischer Virenscanner mit dem Unterschied, dass statt der Prüfung von Dateien nun der Netzwerkdatenverkehr gescannt wird. PUA-Schutz - Aktivieren, damit Windows-Defender-Antivirus auf Endclients nach potentiell unerwünschten Anwendungen (potentially unwanted applications, PUA) sucht. IOAV-Schutz - Windows Defender heruntergeladene Dateien prüfen lassen. OnAccess-Schutz - Aktivieren, damit Windows-Defender-Antivirus Dateien und Ordner vor unberechtigten Zugriffen schützt. Cloud-Schutz: Aktivieren Sie diese Option, um Windows Defender Antivirus zur schnellen Erkennung und Vermeidung von Bedrohungen mithilfe von proprietären Ressourcen und maschinellem Lernen zu verwenden. Benutzereinverständnis - Aktivieren, damit Windows-Defender-Antivirus den Endclient-Benutzer um Bestätigung bittet, bevor etwas mit erkannten Bedrohungen geschieht. E-Mail scannen – Aktivieren Sie diese Option, um Windows Defender das Scannen von E-Mails zu erlauben. Verbundene Netzlaufwerke scannen - Aktivieren, damit Windows-Defender-Antivirus auf den Geräten verbundene Netzlaufwerke scannt. Archive scannen - Aktivieren, Windows-Defender-Antivirus auf archivierten Ordnern Vollscans durchführt. Wechseldatenträger scannen - Aktivieren, damit Windows-Defender-Antivirus an die Geräte angeschlossene Wechseldatenträger scannt. Dateien unter Quarantäne entfernen nach – Legen Sie fest, wie lang Dateien unter Quarantäne stehen, bis sie entfernt werden.

7. Wählen Sie Speichern und veröffentlichen.

Anwendungssteuerungsprofil

Beschränken Sie, welche Anwendungen auf Windows Desktop-Geräten mit dem Anwendungssteuerungsprofil installiert werden können. Durch die Beschränkung der Anwendungsinstallationen schützen Sie Ihre Daten vor böswilligen Anwendungen und hindern Endbenutzer an den Zugriff auf nicht erwünschte Anwendungen auf Unternehmensgeräten.

Um zuzulassen oder zu verhindern, dass Anwendungen auf Geräten installiert werden, können Sie Anwendungskontrolle aktivieren, um so bestimmten Anwendungen zu vertrauen und sie zu blockieren. Während das Konformitätsmodul Geräte auf vertrauenswürdige und blockierte Anwendungen prüft, hindert die Anwendungssteuerung Benutzer an dem Versuch, Anwendungen hinzuzufügen oder zu entfernen. Verhindern Sie zum Beispiel, dass eine bestimmte Game-Anwendung jemals auf einem Gerät installiert wird, oder vertrauen Sie nur bestimmten Anwendungen für die Installation auf einem Gerät. Blockierte Anwendungen, die auf einem Gerät installiert wurden, bevor die Nutzlast der Anwendungssteuerung per Push auf das Gerät übertragen wird, werden deaktiviert, sobald das Profil per Push übertragen wird.

Das Anwendungssteuerungsprofil unterstützt bei der Senkung der Kosten für das Gerätemanagement, indem der Benutzer daran gehindert wird, verbotene Anwendungen, die Probleme verursachen, auszuführen. Indem die Entstehung von Problemen durch Anwendungen verhindert wird, wird die Anzahl der Anrufe, die Ihre Supportmitarbeiter beantworten müssen, verringert.

Konfigurieren eines Anwendungssteuerungsprofils

Um zuzulassen oder zu verhindern, dass Anwendungen auf Geräten verwendet werden, können Sie Anwendungskontrolle aktivieren, um so bestimmten Anwendungen zu vertrauen und sie zu blockieren. Die Anwendungssteuerung nutzt Microsoft AppLocker-Konfigurationen zur Erzwingung der Anwendungssteuerung auf Windows-Geräten.

Um eine XML-Konfigurationsdatei zu konfigurieren, müssen Sie die AppLocker-Einstellungen auf einem Gerät konfigurieren und die Datei zur Verwendung mit dem Profil exportieren.

Anwendungskontrollprofile erfordern die Nutzung von Windows Enterprise oder Education.

Wichtiger Hinweis:

• Erstellen Sie Richtlinien zuerst im Modus „Nur überwachen“. Erstellen Sie nach der Prüfung der Version im Modus „Nur überwachen“ auf einem Testgerät eine Version im Modus „Erzwingen“ für die Verwendung mit Ihren Geräten. Ein Versäumnis, die Richtlinien vor der allgemeinen Verwendung zu prüfen, kann dazu führen, dass Ihre Geräte unbrauchbar werden.
• Erstellen Sie Standardregeln und andere gewünschte Regeln für Ihr Unternehmen, um die Wahrscheinlichkeit einer Sperrung der Standardkonfigurationen oder eines Absturzes der Geräte nach einem Neustart zu verringern. Weitere Informationen zur Erstellung von Regeln finden Sie im Microsoft TechNet-Artikel zu AppLocker.

Verfahren

1. Starten Sie auf dem Konfigurationsgerät den Editor Lokale Sicherheitsrichtlinie.
2. Navigieren Sie zu Anwendungssteuerungsrichtlinien > AppLocker und wählen Sie Regeldurchsetzung konfigurieren.
3. Aktivieren Sie die Erzwingung der Regeln Ausführbare Regeln, Windows Installer-Regeln und Skriptregeln, indem Sie Regeln erzwingen auswählen.
4. Erstellen Sie Ausführbare Regeln, Windows Installer-Regeln und Skriptregeln, indem Sie den Ordner auf der rechten Seite markieren, mit der rechten Maustaste darauf klicken und Neue Regel erstellen auswählen. Denken Sie daran, Standardregeln zu erstellen, um die Wahrscheinlichkeit einer Sperrung der Standardkonfiguration oder eines Absturzes des Geräts zu verringern.
5. Nachdem Sie alle gewünschten Regeln erstellt haben, klicken Sie mit der rechten Maustaste auf AppLocker, wählen Sie Richtlinie exportieren aus und speichern Sie die XML-Konfigurationsdatei.
6. Navigieren Sie in der Workspace ONE UEM Console zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.
7. Wählen Sie Windows und dann Windows Desktop.
8. Wählen Sie Geräteprofil.
9. Konfigurieren Sie die Profileinstellungen Allgemein.
10. Wählen Sie die Nutzlast für Anwendungssteuerung.
11. Wählen Sie Beispielgerätekonfiguration importieren und dann Hochladen, um Ihre Richtlinienkonfigurationsdatei hinzuzufügen.
12. Wählen Sie Speichern und veröffentlichen.

BIOS-Profil

Konfigurieren Sie BIOS-Einstellungen für ausgewählte Dell-Unternehmensgeräte mit dem BIOS-Profil. Für dieses Profil ist die Integration mit Dell Command | Monitor erforderlich.

Die Unterstützung für BIOS-Profileinstellungen ist je nach Dell Enterprise Gerät verschieden. Dell Command | Monitor muss hochgeladen und/oder jedem Gerät zugewiesen werden.

Voraussetzungen

• Wenn Sie die Funktion „Konfigurationspaket“ verwenden möchten, müssen Sie die Dell Command | Configure App auf Ihre Geräte übertragen.
• Für dieses Profil ist auch die Integration mit Dell Command | Monitor erforderlich. Hinzufügen von Dell Command | Produkte.

Verfahren

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

Hinweis: Es gibt jetzt eine Standardoption für die Profile. Die Standardoption nimmt keine Änderungen an der Einstellung auf dem Gerät vor. In den neuen Profilstandardeinstellungen werden die Kennworteinstellungen auf Verwalten festgelegt und alle anderen Einstellungen auf Standard festgelegt.

1. Konfigurieren Sie die Profileinstellungen Allgemein.

2. Wählen Sie die BIOS-Nutzlast aus und konfigurieren Sie folgende Einstellungen.

   • Setzen des BIOS-Kennworts: Wählen Sie Verwaltet aus, damit Workspace ONE UEM automatisch ein starkes, eindeutiges BIOS-Kennwort für Geräte generiert. Sie können auf das generierte Kennwort über die Seite „Gerätedetails“ zugreifen. Wählen Sie Manuell, um Ihr eigenes BIOS-Kennwort einzugeben.
   • BIOS-Kennwort: Geben Sie das Kennwort ein, das zum Entsperren des BIOS auf dem Gerät verwendet wird. Diese Einstellung wird angezeigt, wenn für Setzen des BIOS-Kennworts die Option „Manuell“ festgelegt ist.
   • TPM Chip - Wählen Sie Aktivieren, um den Trusted Platform Module-Chip des Geräts zu aktivieren. Wenn Sie den TPM-Chip deaktivieren, deaktivieren Sie auch die einmalige BIOS-Kennwortfunktion. Das im verwalteten BIOS-Profil festgelegte BIOS-Kennwort wird nach der Verwendung nicht rotiert.
   • Secure Boot: Wählen Sie Aktivieren, um Secure Boot-Einstellungen auf dem Gerät zu verwenden. Eine Deaktivierung von Secure Boot mit DCM ist nicht möglich.
   • CPU-Virtualisierung: Wählen Sie Aktivieren, um die Hardwarevirtualisierung zu ermöglichen.
   • Virtualisierungs-E/A: Wählen Sie Aktivieren, um die Eingabe-/Ausgabevirtualisierung zuzulassen.
   • Vertrauenswürdige Ausführung: Wählen Sie Aktivieren, um die Verwendung von TPM-Chip, CPU-Virtualisierung und Virtualisierungs-E/A für Entscheidungen über die Vertrauenswürdigkeit durch das Gerät zuzulassen. Für „Trusted Execution“ müssen die Einstellungen TPM-Chip, CPU-Virtualisierung und Virtualisierung EA auf Aktiviert festgelegt sein.
   • Wireless LAN: Wählen Sie Aktivieren, um die Nutzung der WLAN-Funktionalität des Geräts zuzulassen.
   • Mobilfunk: Wählen Sie Aktivieren, um die Nutzung der Mobilfunkfunktionalität des Geräts zuzulassen.
   • Bluetooth: Wählen Sie Aktivieren, um die Nutzung der Bluetooth-Funktionalität des Geräts zuzulassen.
   • GPS: Wählen Sie Aktivieren, um die Nutzung der GPS-Funktionalität des Geräts zuzulassen.
   • SMART-Reporting: Wählen Sie Aktivieren, um die SMART-Überwachung der Gerätespeicherlösungen zu verwenden.
   • Primäre Akkuladung: Wählen Sie die Laderegeln für das Gerät aus. Diese Regeln steuern, wann der Ladevorgang des Akkus gestartet und beendet wird. Wenn Sie Benutzerdef. Ladevorgang wählen, können Sie den Prozentsatz des Akkuladestands, bei dem der Ladevorgang gestartet und beendet werden soll, manuell festlegen.
     • Standard-Ladevorgang – Verwenden Sie diese Option für Benutzer, die zwischen Akkubetrieb und externer Stromquelle wechseln. Mit dieser Option wird der Akku vollständig mit Standardgeschwindigkeit aufgeladen. Die Ladezeit variiert je nach Gerätemodell.
     • Express-Ladevorgang – Verwenden Sie diese Option für Benutzer, die den Akku über einen kurzen Zeitraum aufladen müssen. Mit der schnellen Ladetechnologie von Dell kann ein vollständig entladener Akku bei ausgeschaltetem Computer in etwa 1 Stunde in der Regel auf 80 % aufgeladen werden und in ca. 2 Stunden auf 100 %. Die Ladezeit ist möglicherweise länger, wenn der Computer eingeschaltet ist.
     • Wechselstrom-Ladevorgang – Verwenden Sie diese Option für Benutzer, die Ihr System primär dann betreiben, während es an einer externen Stromquelle angeschlossen ist. Diese Einstellung kann die Lebensdauer des Akkus verlängern, indem der Schwellenwert für die Ladung gesenkt wird.
     • Automatischer Ladevorgang – Verwenden Sie diese Option für Benutzer, die die Option festlegen und nicht ändern möchten. Mit dieser Option kann das System die Akku-Einstellungen basierend auf Ihrem typischen Akku-Nutzungsmuster optimieren.
     • Benutzerdefinierter Ladevorgang – Verwenden Sie diese Option für fortgeschrittene Benutzer, die mehr Kontrolle darüber haben möchten, wann der Ladevorgang des Akkus gestartet und beendet wird.
   • Startlimit für die benutzerdefinierte Ladung des primären Akkus: Legen Sie den Prozentsatz der Akkuladung fest, der erreicht werden muss, bevor das Gerät mit dem Laden des Akkus beginnt.
   • Endlimit für die benutzerdefinierte Ladung des primären Akkus: Legen Sie den Prozentsatz der Akkuladung fest, der erreicht werden muss, bevor das Gerät mit dem Laden des Akkus aufhört.
   • Peak Shift: Wählen Sie Aktivieren, um mithilfe von Peak Shift zu steuern, wann ein Gerät im Akku- und wann im Netzbetrieb läuft. Peak Shift ermöglicht es Ihnen, während bestimmter Zeiten Akkustrom anstelle von Netzstrom zu verwenden. Um den Zeitplan für Peak Shift festzulegen, klicken Sie auf das Kalendersymbol.
   • Peak Shift-Zeitplan: Die drei Parameter für den Peak Shift-Zeitplan steuern, wann ein Gerät Akku- oder Netzstrom verwendet und wann das Gerät den Akku lädt.
     • Peak Shift-Start – Legen Sie die Peak Shift-Startzeit fest, zu der Geräte in den Akkubetrieb wechseln.
     • Peak Shift-Ende – Legen Sie die Peak Shift-Endzeit fest, zu der Geräte in den Netzbetrieb wechseln.
     • Peak Shift-Ladestart – Legen Sie die Startzeit für den Peak Shift-Ladevorgang fest, zu der Geräte die Akkus laden, während sie mit Netzstrom versorgt werden.
   • Peak Shift Akkugrenzwert: Legen Sie den Akkuladestand in Prozent fest, der erreicht sein muss, bevor Geräte vom Akku- in den Netzbetrieb wechseln. Die Einstellung Peak Shift-Ladestart steuert den Zeitpunkt, zu dem das Gerät die Akkus lädt, nachdem es in den Netzbetrieb gewechselt ist.
   • Systemeigenschaften: Wählen Sie Systemeigenschaften hinzufügen, um eine benutzerdefinierte Systemeigenschaft hinzuzufügen. Klicken Sie erneut auf die Schaltfläche, um weitere Eigenschaften hinzufügen. Bei diesen Eigenschaften handelt es sich um erweiterte Optionen. Vor der Verwendung dieser Einstellungen sollten Sie die Dell-Dokumentation lesen. Systemeigenschaften setzen alle vordefinierten Einstellungen, die im Profil konfiguriert wurden, außer Kraft.
   • Klasse: Geben Sie eine Klasse ein und wählen Sie diese im Dropdown-Menü. Wird nach der Auswahl von Systemeigenschaften hinzufügen angezeigt.
   • Systemeigenschaft: Geben Sie eine Systemeigenschaft ein und wählen Sie diese im Dropdown-Menü. Wird nach der Auswahl von Systemeigenschaften hinzufügen angezeigt.
   • BIOS-Attribute: Wählen Sie BIOS-Attribut hinzufügen, um ein benutzerdefiniertes BIOS-Attribut hinzuzufügen. Klicken Sie erneut auf die Schaltfläche, um weitere Attribute hinzufügen. Bei diesen Attributen handelt es sich um erweiterte Optionen. Vor der Verwendung dieser Einstellungen sollten Sie die Dell-Dokumentation lesen. BIOS-Attribute setzen alle vordefinierten Einstellungen, die im Profil konfiguriert wurden, außer Kraft.
   • BIOS-Attribut: Geben Sie ein BIOS-Attribut ein und wählen Sie dieses im Dropdown-Menü. Wird nach der Auswahl von BIOS-Attribut hinzufügen angezeigt.
   • Wert: Wählen Sie einen Wert für das BIOS-Attribut aus. Wenn kein Wert angegeben ist, ist das BIOS-Attribut schreibgeschützt. Wird nach der Auswahl von BIOS-Attribut hinzufügen angezeigt.
   • Konfigurationspaket: Wählen Sie Hochladen, um ein Konfigurationspaket für Dell Command | Configure hinzuzufügen. Das Hochladen eines Pakets ermöglicht es Ihnen, mehrere Geräte von Dell mit nur einer einzigen Konfiguration zu konfigurieren. Konfigurationspakete setzen alle benutzerdefinierten Systemeigenschaften oder Attribute außer Kraft. Wenn Sie den zulässigen Dateierweiterungen vertrauen, müssen Sie die CCTK-Dateierweiterung zur Positivliste hinzufügen. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Inhalt > Erweitert > Dateierweiterungen, um die Dateierweiterung hinzuzufügen.

3. Wählen Sie Speichern und veröffentlichen.

Profil für Anmeldedaten

Ein Anmeldedatenprofil ermöglicht Ihnen, Stamm-, Zwischen- und Client-Zertifikate als Unterstützung für Anwendungsfälle zu Public Key Infrastructure (PKI) und Zertifikatauthentifizierungen per Push an Ihre Windows-Geräte zu übertragen. Das Profil überträgt die konfigurierten Anmeldedaten per Push an den entsprechenden Anmeldedatenspeicher auf dem Windows Desktop-Gerät. Erfahren Sie, wie Sie ein Anmeldedatenprofil konfigurieren, um die Authentifizierung für Ihre Windows-Geräte zu ermöglichen.

Selbst mit sicheren Passcodes und anderen Beschränkungen bleibt Ihre Infrastruktur für Brute-Force-Angriffe, Wörterbuchangriffe und Fehler durch Mitarbeiter anfällig. Zur erhöhten Sicherheit können Sie digitale Zertifikate implementieren, um Ihr Unternehmensinventar zu schützen. Um Zertifikate auf diese Weise zu verwenden, müssen Sie zuerst eine Anmeldedaten-Nutzlast mit einer Zertifikatsstelle konfigurieren und anschließend Ihre WLAN- und VPN-Nutzlasten konfigurieren. Jede dieser Nutzlasten weist Einstellungen auf, mit denen die in der Anmeldedaten-Nutzlast definierte Zertifizierungsstelle zugeordnet wird.

Mithilfe des Anmeldedatenprofils können Sie zudem S/MIME-Zertifikate per Push auf Geräte übertragen. Diese Zertifikate werden in jedes Benutzerkonto hochgeladen und vom Anmeldedatenprofil gesteuert.

Konfigurieren eines Anmeldedatenprofils

Ein Anmeldedatenprofil überträgt Zertifikate per Push auf Geräte für die Verwendung bei der Authentifizierung. Mit Workspace ONE UEM können Sie Anmeldedaten für Speicher von persönlichen Zertifikaten, Zwischenzertifikaten, vertrauenswürdigen Stammzertifikaten, Zertifikaten vertrauenswürdiger Herausgeber sowie Zertifikaten vertrauenswürdiger Personen konfigurieren. Erfahren Sie, wie Sie ein Anmeldedatenprofil konfigurieren, um die Authentifizierung für Ihre Windows-Geräte zu ermöglichen.

Selbst mit sicheren Passcodes und anderen Beschränkungen bleibt Ihre Infrastruktur für Brute-Force-Angriffe, Wörterbuchangriffe und Fehler durch Mitarbeiter anfällig. Zur erhöhten Sicherheit können Sie digitale Zertifikate implementieren, um Ihr Unternehmensinventar zu schützen. Um Zertifikate auf diese Weise zu verwenden, müssen Sie zuerst eine Anmeldedaten-Nutzlast bei einer Zertifizierungsstelle konfigurieren und anschließend Ihre WLAN- und VPN-Nutzlasten konfigurieren. Jede dieser Nutzlasten weist Einstellungen auf, mit denen die in der Anmeldedaten-Nutzlast definierte Zertifizierungsstelle zugeordnet wird.

Mithilfe des Anmeldedatenprofils können Sie zudem S/MIME-Zertifikate per Push auf Geräte übertragen. Diese Zertifikate werden in jedes Benutzerkonto hochgeladen und vom Anmeldedatenprofil gesteuert.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Benutzerprofil oder Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie die Anmeldedaten-Nutzlast aus und konfigurieren Sie folgende Einstellungen:

   Einstellungen	Beschreibungen
   Anmeldedatenquelle	Wählen Sie für die Anmeldedatenquelle Upload, Festgelegte Zertifizierungsstelle oder Benutzerzertifikat aus. Die verbleibenden Nutzlastoptionen sind quellenabhängig. Wählen Sie Hochladen, müssen Sie ein neues Zertifikat hochladen. Wählen Sie Vorgegebene Zertifizierungsstelle, müssen Sie eine vorgegebene Zertifizierungsstelle und eine Vorlage auswählen. Wählen Sie Benutzerzertifikat, müssen Sie auswählen, wie das S/MIME-Zertifikat verwendet wird.
   Hochladen	Wählen Sie diese Option aus, um zur gewünschten Anmeldedaten-Zertifikatdatei zu navigieren und diese in Workspace ONE UEM Console hochzuladen. Diese Einstellung wird angezeigt, wenn Hochladen als Anmeldedatenquelle ausgewählt ist.
   Zertifizierungsstelle	Wählen Sie über das Dropdown-Menü eine vordefinierte Zertifizierungsstelle aus. Diese Einstellung wird angezeigt, wenn Festgelegte Zertifizierungsstelle als Anmeldedatenquelle ausgewählt ist.
   Zertifikatsvorlage	Wählen Sie über das Dropdown-Menü eine vordefinierte Zertifizierungsvorlage speziell für die ausgewählte Zertifizierungsstelle aus. Diese Einstellung wird angezeigt, wenn Festgelegte Zertifizierungsstelle als Anmeldedatenquelle ausgewählt ist.
   Aufbewahrungsort des Schlüssels	Wählen Sie den Aufbewahrungsort des privaten Zertifikatschlüssels aus: TPM, sofern vorhanden – Wählen Sie diese Option aus, um den privaten Schlüssel auf einem Trusted Platform Module (TPM) zu speichern, sofern ein solches auf dem Gerät vorhanden ist; anderenfalls wird er im Betriebssystem gespeichert. TPM erforderlich – Wählen Sie diese Option aus, um den privaten Schlüssel auf einem Trusted Platform Module zu speichern. Wenn kein TPM vorhanden sein sollte, wird das Zertifikat nicht installiert und ein Fehler wird auf dem Gerät angezeigt. Software – Wählen Sie diese Option aus, um den privaten Schlüssel im Betriebssystem des Geräts zu speichern. Passport – Wählen Sie diese Option aus, um den privaten Schlüssel in Microsoft Passport zu speichern. Für diese Option ist die Azure AD-Integration erforderlich.
   Zertifikatsspeicher	Wählen Sie den entsprechenden Zertifikatspeicher aus, in dem die Anmeldedaten auf dem Gerät gespeichert werden sollen: Persönliche Zertifikate – Wählen Sie diese Option aus, um persönliche Zertifikate zu speichern. Für persönliche Zertifikate muss Workspace ONE Intelligent Hub auf dem Gerät vorhanden sein oder die SCEP-Nutzlast verwendet werden. Zwischenzertifikate – Wählen Sie diese Option aus, um Zertifikate von Zwischenzertifizierungsstellen zu speichern. Vertrauenswürdige Stammzertifikate – Wählen Sie diese Option aus, um Zertifikate von vertrauenswürdigen Zertifizierungsstellen und Stammzertifikate von Ihrem Unternehmen und von Microsoft zu speichern. Vertrauenswürdige Herausgeber – Wählen Sie diese Option aus, um Zertifikate von vertrauenswürdigen Zertifizierungsstellen, denen von Softwarerestriktionsrichtlinien vertraut wird, zu speichern. Vertrauenswürdige Personen – Wählen Sie diese Option aus, um Zertifikate von vertrauenswürdigen Personen oder Abschlusseinheiten zu speichern, die ausdrücklich vertrauenswürdig sind. Oftmals handelt es sich bei diesen Zertifikaten um selbstsignierte Zertifikate oder ausdrücklich vertrauenswürdige Zertifikate in einer Anwendung wie etwa Microsoft Outlook.
   Speicherort	Wählen Sie Benutzer oder Maschine, um festzulegen, wo sich das Zertifikat befindet.
   S/MIME	Wählen Sie aus, ob das S/MIME-Zertifikat für die Verschlüsselung oder die Signatur bestimmt ist. Diese Option wird nur angezeigt, wenn Anmeldedatenquelle auf Benutzerzertifikat gesetzt ist.

6. Wählen Sie Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

Profil für benutzerdefinierte Einstellungen

Die Nutzlast für benutzerdefinierte Einstellungen bietet die Möglichkeit, eine Windows Desktop-Funktionalität zu verwenden, die Workspace ONE UEM momentan nicht durch systemeigene Nutzlasten unterstützt. Falls Sie die neuen Funktionen verwenden möchten, können Sie Benutzerdefinierte Einstellungen und den XML-Code verwenden, um bestimmte Einstellungen manuell zu aktivieren oder zu deaktivieren.

Voraussetzungen

Sie müssen einen eigenen SyncML-Code für Windows Desktop-Profile schreiben Microsoft veröffentlicht eine Konfigurationsdienstanbieter-Referenz-Website, die auf der Microsoft-Website verfügbar ist. Um eine benutzerdefinierte SyncML zu erstellen, verwenden Sie das Policy Builder Fling, das über das VMware Flings-Programm verfügbar ist.

Beispielhafter Code

  <Replace>
    <CmdID>2</CmdID>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
        </Meta>
        <Data>{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_htcwkw4rx2gx4!App"}</Data>
      </Item>
  </Replace>

Verfahren

1. Navigieren Sie zum VMware Flings-Programm.

2. Wählen Sie die Richtlinie für Konfigurationsdienstanbieter aus, die Sie zum Erstellen Ihres benutzerdefinierten Profils verwenden möchten.

3. Wählen Sie Konfigurieren.

4. Konfigurieren Sie auf der Seite „Konfigurieren“ die Richtlinieneinstellungen gemäß Ihren geschäftlichen Anforderungen.

5. Wählen Sie den mit der Richtlinie zu verwendenden Befehl aus: Hinzufügen, Löschen, Entfernen oder Ersetzen.

6. Klicken Sie auf die Schaltfläche Kopieren.

7. Navigieren Sie in der Workspace ONE UEM Console zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

8. Wählen Sie Windows und dann Windows Desktop.

9. Wählen Sie Benutzerprofil oder Geräteprofil.

10. Konfigurieren Sie die Profileinstellungen Allgemein.

11. Wählen Sie die Nutzlast für Benutzerdefinierte Einstellungen und klicken Sie auf Konfigurieren.

12. Wählen Sie ein Ziel für das benutzerdefinierte Profil aus.

    In den meisten Anwendungsfällen wird OMA-DM als Ziel verwendet. Verwenden Sie Workspace ONE Intelligent Hub, wenn Sie ein BitLocker-Profil anpassen oder verhindern möchten, dass Benutzer den AirWatch-Dienst deaktivieren.

13. Wählen Sie Befehle atomar machen, solange Ihr SyncML die Befehle Add, Delete oder Replace verwendet. Verwendet Ihr Code den Befehl Exec, sollten Sie Befehle atomar machen nicht auswählen.

14. Fügen Sie die zuvor kopierte XML in das Textfeld Einstellungen installieren ein. Der eingefügte XML-Code muss den kompletten Codeblock enthalten, von <Add> bis </Add> oder zu dem Befehl, den Ihr SyncML-Code verwendet. Bitte fügen Sie nichts von vor oder nach diesen Tags ein.

15. Fügen Sie den Entfernungscode zum Textfeld „Einstellungen löschen“ hinzu. Der Entferncode muss <replace> </replace> oder <delete> </delete> beinhalten.
    
    Dieser Code aktiviert Workspace-ONE-UEM-Funktionalität wie „Profil entfernen“ und „Profil deaktivieren“. Ohne Entfernungscode können Sie das Profil bei einer Übertragung eines zweiten Profils mit benutzerdefinierten Einstellungen per Push nicht von den Geräten entfernen. Weitere Informationen finden Sie unter https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference.

16. Klicken Sie auf Speichern und veröffentlichen.

Verhindern, dass Endbenutzer den Workspace ONE UEM-Dienst deaktivieren

Mithilfe eines Profils für benutzerdefinierte Einstellungen können Sie verhindern, dass Endbenutzer den Workspace ONE UEM (AirWatch)-Dienst auf ihren Windows-Geräten deaktivieren. Wenn verhindert wird, dass Endanwender den Workspace ONE UEM-Dienst deaktivieren, kann sichergestellt werden, dass der Workspace ONE Intelligent Hub reguläre Check-ins mit der Workspace ONE UEM Console ausführt und die neuesten Richtlinienaktualisierungsdaten empfängt.

1. Erstellen Sie ein Profil für Benutzerdefinierte Einstellungen.

2. Legen Sie für das Ziel den Eintrag Protection Agent fest.

3. Kopieren Sie den folgenden Code und fügen Sie ihn in das Textfeld Benutzerdefinierte Einstellungen ein.

   
             <wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">
               <characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
                 <parm name="LockDownAwService" value="True"/> 
               </characteristic>
             </wap-provisioningdoc>
   
   

4. Wählen Sie Speichern und veröffentlichen. Wenn Sie die Einschränkung auf Endbenutzergeräten aufheben möchten, müssen Sie ein separates Profil mit dem folgenden Code per Push übertragen.

   
             <wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile"> 
               <characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
                 <parm name="LockDownAwService" value="False"/> 
               </characteristic> 
             </wap-provisioningdoc>
   
   

Dynamic Environment Manager(DEM)-Profil

VMware Dynamic Environment Manager (DEM) bietet eine dauerhafte Benutzererfahrung über Benutzersitzungen auf Windows-Geräten hinweg. Zu den Funktionen gehören die Personalisierung von Windows- und App-Einstellungen sowie die Durchführung von Benutzer- und Computeraktionen bei bestimmten Auslösern oder beim App-Start. Sie können Dynamic Environment Manager und Workspace ONE UEM integrieren, um diese Funktionen mit dem DEM-Profil zu verwenden.

Das DEM-Profil in Workspace ONE UEM stellt ein DEM-Konfigurationsprofil bereit, das in der VMware Dynamic Environment Manager-Verwaltungskonsole (DEM-Verwaltungskonsole) erstellt wurde. Das DEM-Konfigurationsprofil funktioniert auf mit Workspace ONE UEM verwalteten Windows-Geräten, unabhängig davon, ob es sich um virtuelle, physische oder cloudbasierte Geräte handelt. Der VMware Workspace ONE Intelligent Hub für Windows und die DEM FlexEngine extrahieren auf dem Gerät Ihre Profile und wenden diese an.

DEM-Dokumentation

Weitere Informationen zum VMware Dynamic Environment Manager finden Sie auf der VMware Docs-Site.

CDN erforderlich

Das CDN ist für diese Funktion erforderlich.

• Wenn Sie über eine SaaS-Umgebung verfügen und das CDN deaktiviert haben, müssen Sie das CDN aktivieren. Andernfalls ist die DEM-Integration nicht verfügbar.
• Wenn Sie über eine lokale Umgebung verfügen und das CDN nicht verwenden oder nicht konfiguriert haben, ist die DEM-Integration nicht verfügbar.

Erwägungen

• Verwenden Sie in DEM den Modus UEM Integrated zum Erstellen des DEM-Konfigurationsprofils. Wenn Sie diesen Modus nicht verwenden, können Sie keine DEM-Konfigurationsprofile erstellen. Workspace ONE UEM unterstützt DEM-Konfigurationen in KMU derzeit nicht.
• Stellen Sie sicher, dass Ihre Konfigurationen in Dynamic Environment Manager und Workspace ONE UEM keinen Konflikt verursachen. Beschränken Sie beispielsweise bestimmte Konfigurationen nicht auf eine Konsole und lassen Sie sie in einer anderen Konsole zu.
• Weisen Sie in Workspace ONE UEM einem einzelnen Gerät nicht mehrere DEM-Profile zu. Durch das Zuweisen mehrerer DEM-Profile zu einem einzelnen Gerät werden möglicherweise falsche Konfigurationen bereitgestellt.
• Extrahieren und installieren Sie die DEM-Verwaltungskonsole und die DEM FlexEngine mithilfe des benutzerdefinierten Installationsvorgangs und nicht unter Verwendung des Standardinstallationsvorgangs. Beim Standardinstallationsvorgang wird nur die DEM-Verwaltungskonsole installiert.
• Verwenden Sie DEM 2106 oder höher, da diese Integration in früheren Versionen nicht unterstützt wird.

Diese Aufgaben vor der Integration durchführen

Bevor Sie VMware Dynamic Environment Manager (DEM) und Workspace ONE UEM integrieren können, müssen Sie die DEM-Verwaltungskonsole installieren. Außerdem müssen Sie die DEM FlexEngine auf verwalteten Geräten bereitstellen.

• Laden Sie die DEM-Verwaltungskonsole und die DEM FlexEngine herunter und extrahieren Sie sie.
  • Gehen Sie zur Site VMware Customer Connect für VMware Dynamic Environment Manager.
  • Laden Sie die gültigen Versionen der Konsole und der Engine herunter.
• Installieren Sie die DEM-Verwaltungskonsole auf einem Gerät, auf dem Sie Konfigurationsprofile erstellen möchten.
  • Wechseln Sie mit der DEM-Verwaltungskonsole in den Modus UEM integriert, indem Sie Configure | Integration | Workspace ONE UEM Integration wählen.
• Wenn Sie Ihr DEM-Konfigurationsprofil erstellen, führen Sie die folgenden Aufgaben aus, wie in Installieren von FlexEngine im NoAD-Modus beschrieben.
  • Fügen Sie eine NoAD.xml-Datei als Bestandteil Ihrer Konfiguration hinzu.
  • Fügen Sie eine Lizenzdatei ein, indem Sie eine solche aus dem Hauptmenüsymbol in die DEM-Verwaltungskonsole importieren.
  • Speichern Sie das DEM-Konfigurationsprofil, sodass Sie es – mithilfe des DEM-Profils – in Workspace ONE UEM hochladen können.
• Stellen Sie die DEM FlexEngine als App (MSI) für verwaltete Windows-Geräte mit Workspace ONE UEM bereit. Verwaltete Geräte benötigen sowohl die DEM FlexEngine als auch den VMware Workspace ONE Intelligent Hub, damit Windows die DEM-Konfigurationsprofile auf dem Gerät anwenden kann.
  1. Wählen Sie in der Workspace ONE UEM Console die entsprechende Organisationsgruppe aus.
  2. Navigieren Sie zu Ressourcen > Apps > Systemeigen > Intern.
  3. Laden Sie die MSI-Datei der DEM FlexEngine hoch.
  4. Aktivieren Sie auf der Registerkarte Bereitstellungsoptionen während der Installation den Modus UEM Integrated in der Befehlszeile.
     1. Navigieren Sie zum Abschnitt Beschreibung der Installation.
     2. Geben Sie den Befehl in das Textfeld Installationsbefehl ein.
        Beispiel: msiexec.exe /i "VMware Dynamic Environment Manager Enterprise 2106 10.3 x64.msi" /qn INTEGRATION_ENABLED=1
  5. Wählen Sie für die App Speichern & Zuweisen, um sie den entsprechenden Smartgroups bereitzustellen, die Ihre verwalteten Windows-Geräte enthalten.

Konfigurieren eines DEM-Profils

Verwenden Sie Workspace ONE UEM-Geräteprofile, um Ihre DEM-(Dynamic Environment Manager) Konfigurationen auf Ihren verwalteten Windows-Geräten bereitzustellen.

1. Navigieren Sie in Workspace ONE UEM zu Ressourcen > Profile & Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.
2. Wählen Sie Windows und dann Windows Desktop als Plattform.
3. Wählen Sie Geräteprofil.
4. Konfigurieren Sie die Profileinstellungen Allgemein. Die Nutzlast Allgemein enthält die Smartgroup-Zuweisung. Weisen Sie daher die Smartgroups zu, die Ihre verwalteten Windows-Geräte enthalten, um das DEM-Konfigurationsprofil zu erhalten.
5. Wählen Sie die Nutzlast Dynamic Environment Manager (DEM) aus.
6. Laden Sie auf der Seite DEM die DEM-Konfigurationsdatei hoch und wählen Sie Speichern und veröffentlichen aus, um die Konfigurationen abzuschließen.

Workspace ONE UEM stellt den verwalteten Geräten das DEM-Konfigurationsprofil in den zugewiesenen Smartgroups bereit. Die DEM FlexEngine und der VMware Workspace ONE Intelligent Hub für Windows auf dem Gerät wenden Ihre DEM-Konfigurationsprofile an. Die Profiländerungen werden erst angezeigt, nachdem Sie sich am Gerät abgemeldet und erneut angemeldet haben, und zwar nachdem das System das Profil übermittelt hat.

Anwenden von Änderungen des DEM-Konfigurationsprofils

Der Gerätebenutzer muss sich vom verwalteten Windows-Gerät abmelden und dann erneut anmelden, damit die von den DEM-Konfigurationsprofilen bereitgestellten Profiländerungen für ihn sichtbar sind.

Datenschutzprofil

Das Datenschutzprofil konfiguriert Regeln, um die Art und Weise zu steuern, wie Unternehmensanwendungen auf Daten aus verschiedenen Quellen in Ihrem Unternehmen zugreifen. Erfahren Sie, wie Sie mithilfe des Datenschutzprofils sicherstellen, dass Ihre Daten nur für sichere, zulässige Anwendungen zugänglich sind.

Befinden sich private und Arbeitsdaten auf demselben Gerät, so besteht die Gefahr einer versehentlichen Offenlegung von Daten durch Dienste, die nicht von Ihrem Unternehmen gesteuert werden. Durch die Datenschutznutzlast steuert Workspace ONE UEM, wie Ihr Unternehmen Daten zwischen Anwendungen verschiebt, um einen etwaigen Verlust in Grenzen zu halten – und das mit minimalen Auswirkungen auf die Endbenutzer. Workspace ONE UEM verwendet zum Schutz Ihrer Windows-Geräte die Microsoft WIP-Funktion (Windows Information Protection).

Der Datenschutz wird gewährleistet, indem Unternehmensanwendungen vertraut wird, um diesen die Berechtigung zu erteilen, in geschützten Netzwerken auf Unternehmensdaten zuzugreifen. Wenn Endbenutzer Daten in Anwendungen verschieben, die keine Unternehmensanwendungen sind, können Sie nach den ausgewählten Durchsetzungsrichtlinien verfahren.

Die WIP-Funktion behandelt Daten entweder als unverschlüsselte private Daten oder Unternehmensdaten, die zu schützen und zu verschlüsseln sind. Es gibt vier verschiedene Arten von Anwendungen, die zwecks Datenschutzes vertrauenswürdig sind. Die Art der Anwendung bestimmt darüber, wie die jeweilige Anwendung mit geschützten Daten umgeht.

• Optimierte Anwendungen – Diese Anwendungen unterstützen die WIP-Funktion vollumfänglich. Optimierte Anwendungen können ohne Weiteres sowohl auf private als auch auf Unternehmensdaten zugreifen. Wenn Daten mit einer optimierten Anwendung erstellt werden, können Sie die Daten als unverschlüsselte private Daten oder als verschlüsselte Unternehmensdaten speichern. Mithilfe des Datenschutzprofils können Sie Benutzer durch optimierte Anwendungen an der Speicherung von privaten Daten hindern.
• Zulässige Anwendungen – Diese Anwendungen unterstützen mit WIP verschlüsselte Daten. Zulässige Anwendungen können sowohl auf Unternehmensdaten als auch auf private Daten zugreifen, speichern die abgerufenen Daten jedoch als verschlüsselte Unternehmensdaten. Zulässige Anwendungen speichern private Daten als verschlüsselte Unternehmensdaten, die außerhalb von WIP-zulässigen Anwendungen nicht aufgerufen werden können. Es wird empfohlen, Anwendungen nach und nach je nach Einzelfall zu vertrauen, um Probleme beim Zugriff auf Daten zu verhindern. Weitere Informationen zur WIP-Genehmigung erhalten Sie bei den Software-Anbietern.
• Ausgenommen – Bei der Erstellung des Datenschutzprofils bestimmen Sie, welche Anwendungen von der Erzwingung der WIP-Richtlinie ausgenommen sind. Schließen Sie Anwendungen aus, die mit WIP verschlüsselte Daten nicht unterstützen. Wenn eine Anwendung die WIP-Verschlüsselung nicht unterstützt, stürzt sie bei dem Versuch, auf verschlüsselte Unternehmensdaten zuzugreifen, ab. Es werden keine WIP-Richtlinien auf ausgenommene Anwendungen angewendet. Ausgenommene Anwendungen können auf unverschlüsselte private Daten und verschlüsselte Unternehmensdaten zugreifen. Seien Sie vorsichtig, wenn Sie ausgenommenen Anwendungen vertrauen, da ausgenommene Anwendungen ohne Erzwingung einer WIP-Richtlinie auf Unternehmensdaten zugreifen können. Ausgenommene Anwendungen erzeugen Lücken im Datenschutz und legen Unternehmensdaten offen.
• Unzulässige Anwendungen: Diese Anwendungen sind nicht in Whitelists enthalten oder wurden von WIP-Richtlinien ausgenommen und können nicht auf verschlüsselte Unternehmensdaten zugreifen. Unzulässige Anwendungen können nach wie vor auf private Daten auf einem mit WIP geschützten Gerät zugreifen.

Wichtiger Hinweis: Das Datenschutzprofil erfordert Windows Information Protection (WIP). Für diese Funktion ist das Windows Anniversary Update erforderlich. Vor der Bereitstellung in Produktionsumgebungen sollten Sie dieses Profil prüfen.

Konfigurieren eines Datenschutzprofils

Erstellen Sie das Datenschutzprofil (Vorschau), um die Microsoft Windows Information Protection-Funktion zu verwenden. Hierdurch können Sie den Zugriff durch Benutzer und Anwendungen auf Ihre Unternehmensdaten auf zugelassene Netzwerke und Anwendungen beschränken. Sie können umfassende Steuerelemente zum Datenschutz festlegen.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop als Plattform.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie die Datenschutz-Nutzlast aus.

6. Konfigurieren Sie die Unternehmensdatenschutz-Einstellungen:

   Einstellungen	Beschreibungen
   Hinzufügen	Wählen Sie diese Option aus, um Unternehmensanwendungen zur Liste der vom Unternehmen zulässigen Anwendungen hinzuzufügen. Die hier hinzugefügten Anwendungen gelten für die Nutzung von Unternehmensdaten als vertrauenswürdig.
   Anwendungstyp	Wählen Sie aus, ob es sich bei der Anwendung um eine konventionelle Desktop-Anwendung oder eine Microsoft Store-Anwendung handelt. Außerdem können Sie einen Anwendungsherausgeber für Desktop-Anwendungen oder Windows Store-Anwendungen auswählen. Durch Auswahl eines Herausgebers werden alle Anwendungen des Herausgebers vertrauenswürdig.
   Name	Geben Sie den Anwendungsnamen ein. Wenn es sich bei der Anwendung um eine Microsoft Store-App handelt, wählen Sie das Symbol Suchen, um nach dem Paketfamiliennamen (PFN) der Anwendung zu suchen.
   Bezeichner	Geben Sie den Dateipfad einer Desktop-Anwendung oder den Paketfamiliennamen einer Windows Store-Anwendung ein.
   Ausgenommen	Aktivieren Sie das Kontrollkästchen, wenn die Anwendung keinen umfassenden Datenschutz unterstützt, jedoch auf Unternehmensdaten zugreifen muss. Durch die Aktivierung dieser Option wird die Anwendung von Datenschutzrestriktionen ausgenommen. Bei diesen Anwendungen handelt es sich oft um Legacy-Anwendungen, die noch nicht mit der Unterstützung für Datenschutz aktualisiert wurden. Die Erstellung von Ausnahmen erzeugt Lücken im Datenschutz. Erstellen Sie nur Ausnahmen, wenn dies notwendig ist.
   Primäre Domäne	Geben Sie die primäre Domäne ein, die Ihre Unternehmensdaten verwendet. Daten von geschützten Netzwerken sind nur für Unternehmensanwendungen zugänglich. Der Versuch, von einer Anwendung aus, die nicht auf der Liste der vom Unternehmen zugelassenen Anwendungen steht, auf ein geschütztes Netzwerk zuzugreifen, führt zu einer Durchsetzungsrichtlinienaktion. Geben Sie Domänen nur in Kleinbuchstaben ein.
   Geschützte Domänennamen des Unternehmens	Geben Sie eine Liste von Domänen (außer Ihre primäre Domäne) ein, die von dem Unternehmen für seine Benutzer verwendet werden. Bitte trennen Sie die Domains durch vertikale Striche (|) voneinander. Geben Sie Domänen nur in Kleinbuchstaben ein.
   Unternehmens-IP-Bereiche	Geben Sie die Unternehmens-IP-Bereiche ein, die die Windows-Geräte im Unternehmensnetzwerk bestimmen. Daten von Geräten in diesem Bereich werden als Teil des Unternehmens betrachtet und als solches geschützt. Diese Stellen werden als sichere Zielorte zur Freigabe von Unternehmensdaten betrachtet.
   Namen der Unternehmensnetzwerkdomänen	Geben Sie die Liste der Domänen ein, die die Grenzen des Unternehmensnetzwerks darstellen. Daten von einer aufgeführten Domäne, die an ein Gerät gesendet werden, werden als Unternehmensdaten betrachtet und als solche geschützt. Diese Stellen werden als sichere Zielorte zur Freigabe von Unternehmensdaten betrachtet.
   Unternehmens-Proxyserver	Geben Sie die Liste der Proxyserver ein, die das Unternehmen als geschäftliche Ressourcen nutzen kann.
   Enterprise Cloud-Ressourcen	Geben Sie die Liste der in der Cloud gehosteten Unternehmensressourcendomänen ein, die durch Weiterleitung durch das Unternehmensnetzwerk über einen Proxyserver (auf Port 80) geschützt werden müssen. Wenn Windows nicht festlegen kann, ob eine Anwendung für die Verbindung mit einer Netzwerkressource zugelassen werden soll, wird die Verbindung automatisch blockiert. Wenn Windows standardmäßig derartige Verbindungen zulassen soll, fügen Sie den String /*AppCompat*/ zur Einstellung hinzu. Beispiel: www.air-watch.com | /*AppCompat*/ Fügen Sie den String /*AppCompat*/ nur einmal hinzu, um die Standardeinstellung zu ändern.
   Anwendungsdaten-Schutzebene	Legen Sie den Schutzgrad und die zum Schutz von Unternehmensdaten durchzuführenden Maßnahmen fest.
   EDP-Symbole anzeigen	Aktivieren Sie diese Option, um beim Zugriff auf geschützte Daten ein EDP-Symbol im Webbrowser, im Datei-Explorer und in Anwendungssymbolen anzuzeigen. Das Symbol wird auch in Unternehmensanwendungen im Startmenü angezeigt.
   Bei Registrierungsaufhebung widerrufen	Aktivieren Sie diese Option, um Datenschutzschlüssel eines Geräts zu widerrufen, wenn die Registrierung des Geräts bei Workspace ONE UEM aufgehoben wird.
   Benutzerentschlüsselung	Aktivieren Sie diese Option, um Benutzern die Auswahl zu ermöglichen, wie Daten mit einer optimierten Anwendung gespeichert werden. Sie können „Unter geschäftlich speichern“ oder „Unter privat speichern“ auswählen. Wenn diese Option nicht aktiviert ist, werden alle mit einer optimierten Anwendung gespeicherten Daten als Unternehmensdaten gespeichert und mithilfe der Unternehmensverschlüsselung verschlüsselt.
   Direkter Speicherzugriff	Aktivieren Sie diese Option, um Benutzern direkten Zugriff auf den Gerätespeicher zu gewähren.
   Datenwiederherstellungszertifikat	Wenn Ihr Verschlüsselungsschlüssel verloren gegangen ist oder beschädigt wurde, laden Sie das jeweilige Zertifikat zur Verschlüsselung des Dateisystems hoch, das zur Dateiwiederherstellung verwendet wird.

7. Wählen Sie Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

Erstellen eines Zertifikats zur Verschlüsselung des Dateisystems

Das Datenschutzprofil verschlüsselt Unternehmensdaten und beschränkt den Zugriff auf zugelassene Geräte. Erstellen Sie ein EFS-Zertifikat, um Ihre durch ein Datenschutzprofil geschützten Unternehmensdaten zu verschlüsseln.

1. Öffnen Sie auf einem Computer ohne EFS-Zertifikat die Eingabeaufforderung (mit Administratorrechten) und navigieren Sie zum Zertifikatspeicher, in dem das Zertifikat gespeichert werden soll.

2. Führen Sie den folgenden Befehl aus: cipher /r:<EFSRA>

   Der Wert von Ist der Name der zu erstellenden .cer- und der .pfx-Dateien.

3. Geben Sie bei Aufforderung das Kennwort zum Schutz Ihrer neuen .pfx-Datei ein.

4. Die .cer- und .pfx-Dateien werden in dem von Ihnen ausgewählten Zertifikatspeicher erstellt.

5. Laden Sie Ihr .cer-Zertifikat als Teil eines Datenschutzprofils auf den Geräten hoch.

Defender Exploit Guard-Profil

Schützen Sie Ihre Windows-Geräte mit dem Windows Defender Exploit Guard-Profil vor Exploits und Malware. Workspace ONE UEM verwendet diese Einstellungen, um Ihre Geräte vor Exploits zu schützen, Angriffsflächen zu reduzieren, den Ordnerzugriff zu überwachen und Ihre Netzwerkverbindungen zu schützen.

Windows Defender Exploit Guard

Verschiedene Malware-Produkte und Exploits nutzen Schwachstellen auf Ihren Windows-Geräten, um Zugriff auf Ihr Netzwerk und Ihre Geräte zu erhalten. Workspace ONE UEM verwendet das Windows Defender Exploit Guard-Profil, um Ihre Geräte vor diesen Angreifern zu schützen. Das Profil verwendet die systemeigenen Windows Defender Exploit Guard-Einstellungen von Windows. Das Profil enthält vier verschiedene Schutzmethoden. Diese Methoden decken verschiedene Schwachstellen und Angriffsvektoren ab.

Exploit-Schutz

Der Exploit-Schutz wendet automatisch Exploit-Abwehrmaßnahmen sowohl auf das Betriebssystem als auch auf die Apps an. Diese Schutzmaßnahmen funktionieren auch mit Antivirensoftware von Drittanbietern und der Windows Defender-Antivirensoftware. Im Windows Defender Exploit Guard-Profil konfigurieren Sie diese Einstellungen, indem Sie eine XML-Konfigurationsdatei hochladen. Diese Datei muss mithilfe der Windows-Sicherheitsanwendung oder der PowerShell erstellt werden.

Attack Surface Reduction

Regeln zur Verringerung der Angriffsfläche helfen, die typischen Aktionen zu verhindern, die Malware zum Infizieren von Geräten verwendet. Diese Regeln sind beispielsweise auf folgende Aktionen gerichtet:

• Ausführbare Dateien und Skripte, die in Office-Apps oder Webmail-Anwendungen verwendet werden und versuchen, Dateien herunterzuladen oder auszuführen
• Verborgene oder anderweitig verdächtige Skripte
• Aktionen, die Apps normalerweise nicht verwenden

Um Regeln zur Reduzierung von Angriffsflächen verwenden zu können, muss der Echtzeitschutz von Windows Defender aktiviert sein.

Überwachter Ordnerzugriff

Der gesteuerte Ordnerzugriff hilft Ihnen, Ihre wertvollen Daten vor schädlichen Apps und Bedrohungen wie Ransomware zu schützen. Wenn diese Option aktiviert ist, überprüft Windows Defender Antivirus alle Apps (.EXE, .SCR, .DLL usw.). Windows Defender legt dann fest, ob die App schädlich oder sicher ist. Wenn die App als schädlich oder verdächtig markiert wurde, verhindert Windows, dass die App Dateien in geschützten Ordnern ändert.

Geschützte Ordner schließen allgemeine Systemordner ein. Sie können eigene Ordner zum gesteuerten Ordnerzugriff hinzufügen. Die meisten bekannten und vertrauenswürdigen Apps können auf geschützte Ordner zugreifen. Wenn Sie einer internen oder unbekannten App Zugriff auf geschützte Ordner gewähren möchten, müssen Sie beim Erstellen des Profils den Dateipfad der App hinzufügen.

Um den gesteuerten Ordnerzugriff verwenden zu können, muss der Echtzeitschutz von Windows Defender aktiviert sein.

Netzwerkschutz

Der Netzwerkschutz hilft dabei, Benutzer und Daten vor betrügerischen Phishing-Versuchen und schädlichen Websites zu schützen. Diese Einstellungen verhindern, dass Benutzer eine beliebige App für den Zugriff auf gefährliche Domänen verwenden, die Phishing-Angriffe, Exploits oder Malware hosten könnten.

Für den Netzwerkschutz muss der Echtzeitschutz von Windows Defender aktiviert sein.

Zusätzliche Informationen

Weitere Informationen zu dem jeweiligen Exploit-Schutz und den konfigurierten Einstellungen finden Sie unter https://docs.microsoft.com/en-us/sccm/protect/deploy-use/create-deploy-exploit-guard-policy.

Erstellen eines Defender Exploit Guard-Profils

Erstellen Sie ein Defender Exploit Guard-Profil über Workspace ONE UEM, um Ihre Windows-Geräte vor Exploits und Malware zu schützen. Erfahren Sie, wie Sie mithilfe des Profils die Einstellungen für Windows Defender Exploit Guard auf Ihren Windows-Geräten konfigurieren.

Wenn Sie Regeln und Einstellungen für Verringerung der Angriffsfläche, Überwachter Ordnerzugriff und Netzwerkschutz erstellen, müssen Sie „Aktiviert“, „Deaktiviert“ oder „Überwachung“ auswählen. Diese Optionen ändern die Funktionsweise der Regel oder der Einstellung.

• Aktiviert: Konfiguriert Windows Defender zum Blockieren von Exploits für diese Methode. Wenn Sie beispielsweise die Funktion „Überwachter Ordnerzugriff“ auf „Aktiviert“ gesetzt haben, verhindert Windows Defender, dass Exploits auf die geschützten Ordner zugreift.
• Deaktiviert: Die Richtlinie für Windows Defender wird nicht konfiguriert.
• Überwachung: Konfiguriert Windows Defender zum Blockieren von Exploits wie bei „Aktiviert“, protokolliert aber auch das Ereignis in der Ereignisanzeige.

Voraussetzungen

Um die Exploit-Schutzeinstellungen in diesem Profil zu verwenden, müssen Sie vor dem Erstellen des Profils eine XML-Konfigurationsdatei mit der Windows-Sicherheitsanwendung oder PowerShell auf einem einzelnen Gerät erstellen.

Verfahren

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.
   
2. Wählen Sie Windows und dann Windows Desktop.
3. Wählen Sie Geräteprofil.
4. Konfigurieren Sie die Profileinstellungen Allgemein.
5. Wählen Sie die Defender Exploit Guard-Nutzlast aus.
6. Laden Sie die XML-Konfigurationsdatei mit den Exploit-Schutzeinstellungen hoch.
   
   Diese Einstellungen wenden automatisch Exploit-Abwehrmaßnahmen sowohl auf das Betriebssystem als auch auf einzelne Apps an. Sie müssen die XML-Datei mithilfe der Windows-Sicherheitsanwendung oder der PowerShell auf einem einzelnen Gerät erstellen.
7. Konfigurieren Sie die Einstellungen für die Verringerung der Angriffsfläche. Diese Regeln helfen, die typischen Aktionen zu verhindern, die Malware zum Infizieren von Geräten mit schädlichem Code verwendet. Wählen Sie Hinzufügen, um zusätzliche Regeln hinzuzufügen.
   
   In der Beschreibung der Regeln wird erläutert, auf welche Apps oder Dateitypen die jeweilige Regel angewendet wird. Für Regeln zur Verringerung der Angriffsfläche muss der Echtzeitschutz von Windows Defender aktiviert sein.
8. Konfigurieren Sie die Einstellungen für Gesteuerten Ordnerzugriff. Legen Sie Gesteuerter Ordnerzugriff auf Aktiviert fest, um diese Einstellungen zu verwenden. Wenn diese Einstellung aktiviert ist, werden standardmäßig mehrere Ordner geschützt. Um die Liste anzuzeigen, bewegen Sie den Mauszeiger über das Symbol ?. Diese Einstellungen schützen Ihre Daten automatisch vor Malware und Exploits. Für den überwachten Ordnerzugriff muss der Echtzeitschutz von Windows Defender aktiviert sein.
   • Fügen Sie weitere zu schützende Ordner hinzu, indem Sie Neu hinzufügen auswählen und den Dateipfad des Ordners eingeben.
   • Fügen Sie Anwendungen hinzu, die auf geschützte Ordner zugreifen können, indem Sie Neu hinzufügen auswählen und den Dateipfad der Anwendung eingeben. Die meisten bekannten und vertrauenswürdigen Apps können standardmäßig auf die Ordner zugreifen. Verwenden Sie diese Einstellung, um internen oder unbekannten Apps den Zugriff auf geschützte Ordner zu gewähren.
9. Konfigurieren Sie die Netzwerkschutzeinstellungen. Legen Sie Netzwerkschutz auf Aktiviert fest, um diese Einstellungen zu verwenden. Diese Einstellungen schützen Benutzer und Daten vor Phishing-Scams und bösartigen Websites. Für den Netzwerkschutz muss der Echtzeitschutz von Windows Defender aktiviert sein.
10. Wählen Sie nach Abschluss des Vorgangs Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

Verschlüsselungsprofil

Sichern Sie die Daten Ihrer Organisation auf Windows-Desktopgeräten mit Hilfe des Verschlüsselungsprofils. Das Verschlüsselungsprofil konfiguriert die systemeigene BitLocker-Verschlüsselungsrichtlinie auf Ihren Windows Desktop-Geräten, damit gewährleistet ist, dass die Daten sicher bleiben.

Die BitLocker-Verschlüsselung ist nur auf Windows Enterprise-, Education- und Pro-Geräten verfügbar.

Da Notebooks und Tablets Mobilgeräte sind, besteht bei diesen für die Daten Ihrer Organisation ein erhöhtes Diebstahlrisiko.. Durch die Erzwingung einer Verschlüsselungsrichtlinie mittels Workspace ONE UEM können Sie Daten auf der Festplatte schützen. BitLocker ist die systemeigene Windows-Verschlüsselung und Dell Data Protection | Encryption ist eine Drittanbieter-Verschlüsselungslösung von Dell. Bei aktiviertem Verschlüsselungsprofil prüft Workspace ONE Intelligent Hub fortlaufend den Verschlüsselungsstatus des Geräts. Wenn Workspace ONE Intelligent Hub feststellt, dass das Gerät nicht verschlüsselt ist, wird das Gerät automatisch verschlüsselt.

Wenn Sie sich für die Verschlüsselung mit BitLocker entscheiden, wird ein bei der Verschlüsselung erstellter Wiederherstellungsschlüssel für jedes Laufwerk (sofern konfiguriert) in der Workspace ONE UEM Console gespeichert. Der Administrator hat die Möglichkeit, die Wiederherstellungsschlüssel zu einem Einmal-Schlüssel zu machen. Wenn diese Option ausgewählt ist, wird ein neuer Wiederherstellungsschlüssel generiert, sobald er einmal verwendet wurde. Anschließend muss sich der Benutzer wegen des neuen aktualisierten Wiederherstellungsschlüssels an den Administrator wenden. Weitere Informationen finden Sie unter Wiederherstellungsschlüssel.

Das Verschlüsselungsprofil erfordert, dass Workspace ONE Intelligent Hub auf dem Gerät installiert ist.

Hinweis: Das Verschlüsselungsprofil konfiguriert oder aktiviert Dell Data Protection | Encryption nicht. Der Status der Verschlüsselung wird der Workspace ONE UEM-Konsole und dem Self-Service Portal gemeldet, jedoch muss die Verschlüsselung manuell auf dem Gerät konfiguriert werden.

Achtung: Windows bietet keine Unterstützung für Geräte ohne Pre-Boot-Bildschirmtastatur. Ohne eine solche Tastatur können Sie nicht den Start-PIN eingeben, der zum Entsperren der Festplatte und zum Starten von Windows auf dem Gerät erforderlich ist. Die Übertragung dieses Profils per Push auf Geräte ohne Pre-Boot-Bildschirmtastatur kann zum Absturz Ihres Geräts führen.

BitLocker-Funktionalität

Das Verschlüsselungsprofil nutzt die erweiterte BitLocker-Funktionalität zur Steuerung der Authentifizierung und Bereitstellung der BitLocker-Verschlüsselung.

BitLocker verwendet das Trusted Platform Module (TPM) auf Geräten, um den Verschlüsselungsschlüssel für das Gerät zu speichern. Wird die Festplatte von der Hauptplatine entfernt, bleibt das Laufwerk verschlüsselt. Für eine verbesserte Authentifizierung können Sie eine Verschlüsselungs-PIN zum Starten des Systems aktivieren. Sie können auch ein Kennwort für Geräte verlangen, wenn kein TPM verfügbar ist.

Bereitstellungsverhalten

Die Windows-eigene BitLocker-Verschlüsselung schützt Daten auf Windows Desktop-Geräten. Die Bereitstellung des Verschlüsselungsprofils erfordert möglicherweise zusätzliche Aktionen vom Endbenutzer, z. B. das Erstellen einer PIN oder eines Kennworts.

Wenn das Verschlüsselungsprofil auf ein verschlüsseltes Gerät übertragen wird und die aktuellen Verschlüsselungseinstellungen mit den Profileinstellungen übereinstimmen, fügt Workspace ONE Intelligent Hub einen BitLocker Protektor hinzu und sendet einen Wiederherstellungsschlüssel an die Workspace ONE UEM Console.

Wenn ein Benutzer oder ein Administrator versucht, BitLocker auf dem Gerät zu deaktivieren, kann das Verschlüsselungsprofil dieses mit dieser Funktion erneut verschlüsseln. Die Verschlüsselung wird erzwungen, selbst wenn das Gerät offline ist.

Sollte die vorhandene Verschlüsselung nicht den Authentifizierungseinstellungen des Verschlüsselungsprofils entsprechen, werden die vorhandenen Schutzvorrichtungen entfernt und durch neue ersetzt, die den Verschlüsselungsprofileinstellungen entsprechen.

Falls die vorhandene Verschlüsselungsmethode nicht dem Verschlüsselungsprofil entspricht, behält Workspace ONE UEM die vorhandene Methode bei und überschreibt sie nicht. Diese Funktion kommt auch dann zur Anwendung, wenn Sie eine neue Version des Verschlüsselungsprofils einem Gerät hinzufügen, das von einem bereits vorhandenen Verschlüsselungsprofil verwaltet wird. Die bereits vorhandene Verschlüsselungsmethode wird nicht geändert.

Hinweis: BIOS-Profiländerungen werden nach Verschlüsselungsprofilen angewendet. Änderungen am BIOS-Profil, z. B. das Deaktivieren oder Löschen des TPM, können zu einem Wiederherstellungsereignis führen, das einen Neustart des Systems durch den Wiederherstellungsschlüssel erfordert. Hängen Sie BitLocker an, bevor Sie Änderungen am BIOS vornehmen.

Verschlüsselungsstatus

Wenn BitLocker aktiviert ist und verwendet wird, können Sie Informationen über den Status der Verschlüsselung in den aufgeführten Bereichen sehen.

• Workspace ONE UEM Gerätedetails
  • In den Gerätedetails werden Informationen zum Wiederherstellungsschlüssel angezeigt. Verwenden Sie den Link Wiederherstellungsschlüssel anzeigen, um Wiederherstellungsschlüssel für alle verschlüsselten Laufwerke anzuzeigen und zu kopieren.
  • Auf der Registerkarte Übersicht finden Sie verschiedene Zustände von BitLocker, unter anderem Verschlüsselt, Wird verschlüsselt, Wird entschlüsselt, Ausgesetzt und Teilweise geschützt.
    • Der Status Ausgesetzt (X Reboots verbleiben) zeigt die Aussetzung des Datenträgerschutzes an, selbst dann, wenn der Datenträger immer noch verschlüsselt ist. Dieser Status wird möglicherweise angezeigt, wenn ein Betriebssystem aktualisiert wird oder Änderungen auf Systemebene vorgenommen werden. Sobald die Anzahl der Neustarts ausgeschöpft ist, wird BitLocker Protection automatisch erneut aktiviert.
    • Der Status Teilweise geschützt gibt die Situation an, in der das Betriebssystemlaufwerk verschlüsselt ist, andere Laufwerke jedoch nicht.
  • Auf der Registerkarte Sicherheit in Gerätedetails sehen Sie den Verschlüsselungsstatus und die Verschlüsselungsmethode Ihrer Laufwerke. Sie können auf einen Blick herausfinden, ob eine Maschine nicht die Verschlüsselungsstufe verwendet, die Sie im Verschlüsselungsprofil festgelegt haben. Workspace ONE UEM zeigt nur die Verschlüsselungsmethode an. Es werden keine Festplatten entschlüsselt, auch wenn sie nicht mit der Einstellung der Verschlüsselungsmethode im Profil Verschlüsselung übereinstimmen.
• Workspace ONE UEM-Self-Service Portal
  • Auf der Seite „Sicherheit“ des Self-Service-Portals wird der Wiederherstellungsschlüssel von BitLocker angezeigt.
  • Der BitLocker-Schutz wird als aktiviert angezeigt.

Wiederherstellungsschlüssel

Workspace ONE UEM hinterlegt Wiederherstellungsschlüsseln für Betriebssystemlaufwerk und alle Festplatten, wenn diese Einstellung für Verschlüsseltes Volume im Profil Verschlüsselung aktiviert wurde. Wenn ein Laufwerk wiederhergestellt werden muss, ist der Wiederherstellungsschlüssel für jedes einzelne Laufwerk verfügbar.

Der Administrator hat die Möglichkeit, festzulegen, dass die Wiederherstellungsschlüssel nur einmal verwendet werden können, indem er in den Verschlüsselungsprofil-Einstellungen Einmal-Wiederherstellungsschlüssel aktivieren auswählt. Weitere Informationen finden Sie unter Konfigurieren eines Verschlüsselungsprofils. Wenn diese Option aktiviert ist, generiert Intelligent Hub gleich nach der Verwendung eines Wiederherstellungsschlüssels zur Wiederherstellung eines Laufwerks einen neuen Wiederherstellungsschlüssel und hinterlegt ihn wieder in UEM Console.

Für einen kurzen Zeitraum – bis der neue Wiederherstellungsschlüssel erfolgreich in UEM Console hinterlegt ist – stehen sowohl der vorherige persönliche Wiederherstellungsschlüssel (alt) als auch der persönliche Wiederherstellungsschlüssel (neu) zur Verwendung zur Verfügung. Nach erfolgreicher Hinterlegung des neuen Wiederherstellungsschlüssels wird der vorherige Wiederherstellungsschlüssel gelöscht und kann nicht mehr für die Wiederherstellung des Laufwerks verwendet werden.

Zu Fehlerbehebungszwecken können Sie sehen, wer ein Wechselmedium mit einem bestimmten Schlüssel wiederhergestellt hat, wann die Wiederherstellung durchgeführt wurde und welcher Administrator bei dem Vorgang mitgeholfen hat. Wechseln Sie in Workspace ONE UEM Console zu Geräte > Detailansicht > Mehr – Fehlerbehebung > Ereignisprotokoll, um die Details zu finden.

Verhalten beim Entfernen

Wenn das Profil aus Workspace ONE UEM Console entfernt wird, erzwingt Workspace ONE UEM die Verschlüsselung nicht mehr, und das Gerät nimmt automatisch eine Entschlüsselung vor. Durch das Ausführen von „Unternehmensdaten löschen“ oder das manuelle Deinstallieren von Workspace ONE Intelligent Hub über die Systemsteuerung wird die BitLocker-Verschlüsselung deaktiviert.

Wenn Sie das Verschlüsselungsprofil erstellen, können Sie die Option System immer verschlüsselt halten aktivieren. Diese Einstellung stellt sicher, dass das Gerät auch dann verschlüsselt bleibt, wenn das Profil entfernt, das Gerät gelöscht oder die Kommunikation mit Workspace ONE UEM beendet wird.

Wenn der Endbenutzer die Registrierung während des BitLocker-Verschlüsselungsvorgangs aufhebt, wird der Verschlüsselungsvorgang fortgesetzt, es sei denn, er wird manuell über die Systemsteuerung deaktiviert.

BitLocker und Konformitätsrichtlinien

Sie können Konformitätsrichtlinien konfigurieren, um den Verschlüsselungsstatus von BitLocker zu verwenden, den Sie durchsetzen möchten. Wählen Sie im Abschnitt „Regeln“ einer Konformitätsrichtlinie Verschlüsselung > Ist und wählen Sie die Optionen für Nicht angewendet auf Systemlaufwerk, Nicht angewendet auf einige Laufwerke (teilweise geschützt) oder Ausgesetzt.

BitLocker To Go-Support

Mit dem Verschlüsselungsprofil können Sie die Verschlüsselung von Wechseldatenträgern für Ihre Windows-Geräte mit BitLocker To Go vorschreiben. Aktivieren Sie BitLocker to Go-Support aktivieren um diese Funktion zu aktivieren. Wechseldatenträger sind schreibgeschützt, bis sie verschlüsselt sind. Durch Auswahl einer Option im Dropdown-Menü „Verschlüsselungsmethode“ können Sie entscheiden, welche Methode zum Verschlüsseln des Geräts verwendet werden soll.

Workspace ONE Intelligent Hub für Windows fordert Ihre Benutzer auf, ein Kennwort für den Zugriff auf die Laufwerke und deren Verwendung zu erstellen. Die Mindestlänge dieses Kennworts kann vom Administrator in der Konsole unter den Einstellungen für BitLocker To Go festgelegt werden. Wenn Benutzer das verschlüsselte Laufwerk an das Windows-Gerät anschließen, können sie mit ihrem Kennwort auf das Laufwerk zugreifen, Inhalte auf das Laufwerk kopieren, Dateien bearbeiten, Inhalte löschen oder andere Aufgaben ausführen, die mit Wechseldatenträgern durchgeführt wurden. Der Administrator kann auch auswählen, ob er nur den genutzten Speicherplatz auf dem Laufwerk oder das gesamte Laufwerk verschlüsseln möchte.

Wo findet man Informationen zum Wiederherstellungsschlüssel?

Wenn Benutzer ihre Kennwörter verlieren, können Sie die Laufwerke über die Konsole in Geräte > Peripheriegeräte > Listenansicht > Wechselmedien wiederherstellen. Verwenden Sie den Link Ansicht für das Laufwerk, um den Wiederherstellungsschlüssel zu kopieren und ihn per E-Mail an den entsprechenden Benutzer zu senden. Sie können auf diese Seite auch aus dem Benutzerkonto unter Konten > Benutzer > Listenansicht zugreifen. Wählen Sie den Benutzer aus und öffnen Sie den Tab Wechseldatenträger.

Für Bereitstellungen mit Tausenden von Wiederherstellungs-IDs können Sie Inhalte auf der Seite Wechseldatenträger filtern. Es gibt mehrere Möglichkeiten, Inhalte zu filtern.

• Lassen Sie sich vom Benutzer die Schlüssel-ID geben, wählen Sie dann das Filtermenü in der Spalte Recovery-ID aus und geben Sie den Wert ein. Die Wiederherstellungs-ID mit dieser Schlüssel-ID wird in den Ergebnissen angezeigt.
  

• Wählen Sie das Filtermenü in der Spalte Benutzername aus und geben Sie den entsprechenden Benutzernamen ein, um das Laufwerk und seinen Wiederherstellungsschlüssel zu finden.

Zu Überprüfungszwecken können Sie sehen, wer ein Wechselmedium mit einem bestimmten Schlüssel wiederhergestellt hat, wann die Wiederherstellung durchgeführt wurde und welcher Administrator bei dem Vorgang mitgeholfen hat. Gehen Sie in Workspace ONE UEM Console zu Geräte > Peripheriegeräte > Listenansicht > Ereignisse um die Details zu finden.

Sie können wichtige Informationen nach Benutzern suchen. Gehen Sie in Workspace ONE UEM Console zu Konten > Benutzer > Listenansicht und wählen Sie den Benutzer aus. Der Datensatz des Benutzers besitzt einen Tab Wechseldatenträger, sofern er mindestens einen Datenträger verschlüsselt hat.

BitLocker über die Konsole anhalten

Sie können jetzt die BitLocker-Verschlüsselung über die Konsole anhalten und fortsetzen. Dieses Menüelement wird als Aktion in Gerätedatensätzen hinzugefügt. Suchen Sie es Geräte > Listenansicht, wählen Sie das Gerät aus und wählen Sie Weitere Aktionen aus. Diese Funktion ist hilfreich für Benutzer, die nicht über die Berechtigung zur Verwaltung von BitLocker verfügen, aber Hilfe zu ihrem Gerät benötigen.

Wenn Sie BitLocker anhalten für ein Gerät auswählen, zeigt die Konsole mehrere Optionen an. Eine davon ist für Anzahl der Neustarts. Wenn Sie beispielsweise einem Benutzer beim Aktualisieren des BIOS helfen möchten, muss das System voraussichtlich zweimal neu gestartet werden. Wählen Sie also 3. Dieser Wert gibt dem System einen zusätzlichen Neustart mit angehaltener Verschlüsselung, um sicherzustellen, dass das BIOS ordnungsgemäß aktualisiert wird, bevor BitLocker wieder aktiviert wird.

Wenn Sie jedoch nicht wissen, wie viele Neustarts eine Aufgabe erfordert, wählen Sie einen höheren Wert. Wählen Sie nach Abschluss der Aufgabe Weitere Aktionen > BitLocker fortsetzen.

Konfigurieren eines Verschlüsselungsprofils

Erstellen Sie ein Verschlüsselungsprofil, um Ihre Daten auf Windows Desktop-Geräten mithilfe der systemeigenen BitLocker- und BitLocker To Go-Verschlüsselung zu schützen.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.
2. Wählen Sie Windows und dann Windows Desktop.
3. Wählen Sie Geräteprofil.
4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Profil Verschlüsselung und konfigurieren Sie die Einstellungen.

   Einstellungen	Beschreibungen
   Verschlüsseltes Volume	Wählen Sie über das Dropdown-Menü die Art der Verschlüsselung aus, wie im Folgenden beschrieben wird: Systempartition und alle internen Festplatten – Verschlüsselt alle Festplatten des Geräts, auch die Systempartition, die das Betriebssystem beheimatet. Betriebssystemlaufwerk: Verschlüsselt das Laufwerk, auf dem Windows installiert ist und von dem es gestartet wird.
   Verschlüsselungsmethode	Wählen Sie die Verschlüsselungsmethode für das Gerät aus.
   Systemverschlüsselungsmethode standardmäßig übernehmen	Aktivieren Sie dieses Kontrollkästchen, wenn Ihr OEM eine standardmäßige Verschlüsselungsmethode für einen bestimmten Gerätetyp angibt. Diese Einstellung wendet den Standardverschlüsselungsalgorithmus an.
   Während der Erstverschlüsselung nur genutzten Speicherplatz verschlüsseln	Aktivieren Sie diese Option, um die BitLocker-Verschlüsselung zum Verschlüsselungszeitpunkt auf den genutzten Speicherplatz des Laufwerks zu beschränken.
   Benutzerdefinierte URL für Wiederherstellungsschlüssel	Geben Sie die auf dem Sperrbildschirm anzuzeigende URL ein, über die Endbenutzer zum Abruf des Wiederherstellungsschlüssels weitergeleitet werden. Sie können die URL des Self-Service Portals eingeben, da Workspace ONE UEM den Wiederherstellungsschlüssel dort hostet.
   Verschlüsselung durchsetzen	Aktivieren Sie diese Option, um die Verschlüsselung auf dem Gerät zu erzwingen. Diese Durchsetzung bedeutet, dass das Gerät sofort wieder eine Verschlüsselung vornimmt, wenn BitLocker manuell deaktiviert wird. Sie sollten diese Einstellung deaktivieren, um Probleme während der Ausführung von Upgrades oder „Unternehmensdaten löschen“ zu verhindern.
   System immer verschlüsselt halten	Aktivieren Sie diese Option, damit das Gerät jederzeit verschlüsselt bleibt. Verwenden Sie diese Option, um sicherzustellen, dass Geräte-Löschungen, Profil-Entfernungen oder Unterbrechung der Kommunikation mit Workspace ONE UEM nicht zu einer Entschlüsselung des Geräts führen. Wenn Sie diese Einstellung aktivieren und ein Gerät zurücksetzen, können Sie nur 30 Tage lang über die Workspace ONE UEM Console auf die Wiederherstellung zugreifen. Nach 30 Tagen ist das System möglicherweise nicht wiederherstellbar.
   BitLocker To Go-Support aktivieren	Aktivieren Sie diese Option, damit BitLocker Wechseldatenträger auf Windows-Geräten verschlüsselt. Wenn diese Option ausgewählt ist, sind Wechseldatenträger schreibgeschützt, bis sie verschlüsselt sind. Der Administrator kann die Verschlüsselungsmethode, die minimale Kennwortlänge und die Angabe konfigurieren, ob während der anfänglichen Verschlüsselung nur der verwendete Speicherplatz oder alles verschlüsselt werden soll. Benutzer müssen ein Kennwort für den Zugriff auf die Laufwerke erstellen. Vergisst einer Ihrer Benutzer sein Kennwort, finden Sie die Wiederherstellungs-IDs und -Schlüssel dieser verschlüsselten Datenträger in der Konsole unter Geräte > Peripheriegeräte> Listenansicht > Wechseldatenträger.
   BitLocker-Authentifizierungseinstellungen: Authentifizierungsmodus	Wählen Sie die Methode für die Authentifizierung des Zugriffs auf ein durch BitLocker verschlüsseltes Geräts. TPM – Nutzt das Trusted Platform Module der Geräte. Erfordert ein TPM auf dem Gerät. Kennwort – Nutzt ein Kennwort für die Authentifizierung.
   BitLocker-Authentifizierungseinstellungen: Beim Start PIN verlangen	Aktivieren Sie das Kontrollkästchen, damit Benutzer eine PIN zum Starten des Geräts eingeben müssen. Diese Option verhindert das Starten des Betriebssystems und die automatische Wiederaufnahme nach dem Anhalten oder aus dem Ruhezustand, bis der Benutzer die korrekte PIN eingibt.
   BitLocker-Authentifizierungseinstellungen: PIN-Länge	Wählen Sie diese Einstellung aus, um eine bestimmte Länge für die PIN zu konfigurieren, die beim Start einzugeben ist. Diese PIN ist numerisch, sofern über die Option Erweiterte PIN beim Start zulassen nichts anderweitiges konfiguriert ist.
   BitLocker-Authentifizierungseinstellungen: Erweitere PIN beim Start zulassen	Aktivieren Sie dieses Kontrollkästchen, damit Benutzer PINs festlegen können, die nicht nur aus Ziffern bestehen. Benutzer können Großbuchstaben und Kleinbuchstaben festlegen und außerdem Symbole, Ziffern und Leerzeichen verwenden. Unterstützt die Maschine keine erweiterten PINs in einer Pre-Boot-Umgebung, haben diese Einstellungen keinen Effekt.
   BitLocker-Authentifizierungseinstellungen: Kennwort verwenden, falls TPM nicht vorhanden	Aktivieren Sie das Kontrollkästchen, um ein Kennwort als Ausweichmöglichkeit zum Entschlüsseln des Geräts zu verwenden, wenn das TPM nicht verfügbar ist. Wenn diese Einstellung nicht aktiviert ist, werden Geräte ohne TPM nicht verschlüsselt.
   BitLocker-Authentifizierungseinstellungen: BitLocker anhalten, bis TPM initialisiert wurde	Wählen Sie diese Option aus, um die Verschlüsselung auf dem Gerät zu verschieben, bis TPM auf der Maschine initialisiert wurde. Verwenden Sie diese Option für Registrierungen, für die eine Verschlüsselung erforderlich ist, bevor TPM wie z. B. OOBE initialisiert wird.
   BitLocker-Authentifizierungseinstellungen: Minimale Kennwortlänge	Legen Sie die minimal erforderliche Anzahl der Zeichen für Kennwörter fest. Zeigt an, ob Authentifizierungsmodus auf Kennwort festgelegt ist oder ob Kennwort verwenden, wenn TPM nicht verfügbar aktiviert ist.

| Einstellungen für BitLocker-Wiederherstellungsschlüssel: Einmal-Wiederherstellungsschlüssel aktivieren | Aktivieren Sie das Kontrollkästchen, um festzulegen, dass die Wiederherstellungsschlüssel nur zur einmaligen Verwendung dienen. Nach der Verwendung wird ein neuer Wiederherstellungsschlüssel generiert. Für den neuen Wiederherstellungsschlüssel muss der Benutzer sich an den Administrator wenden. |

| Einstellungen für statische BitLocker-Wiederherstellungsschlüssel: Statischen BitLocker-Schlüssel erstellen | Aktivieren Sie das Kontrollkästchen, wenn ein statischer Wiederherstellungsschlüssel aktiviert ist. | | BitLocker-Einstellungen des statischen Wiederherstellungsschlüssel BitLocker-Wiederherstellungskennwort | Wählen Sie das Symbol für Generieren, um einen neuen Wiederherstellungsschlüssel zu generieren. | | BitLocker-Einstellungen des statischen Wiederherstellungsschlüssel Rotationszeitraum | Geben Sie die Anzahl an Tagen bis zum Wechsel des Wiederherstellungsschlüssels ein. | | BitLocker-Einstellungen des statischen Wiederherstellungsschlüssel Toleranzperiode | Geben Sie die Anzahl an Tagen nach dem Wechsel ein, die der vorherige Wiederherstellungsschlüssel noch funktioniert. | | Anhalten von BitLocker: Anhalten von BitLocker aktivieren | Aktivieren Sie das Kontrollkästchen, um das Anhalten von BitLocker zu aktivieren. Mit dieser Funktionalität wird die BitLocker-Verschlüsselung während eines festgelegten Zeitraums angehalten.

Verwenden Sie diese Funktion zum Anhalten von BitLocker, wenn Updates geplant sind, sodass Geräte neugestartet werden können, ohne dass Endbenutzer die Entschlüsselungs-PIN oder das entsprechende Kennwort eingeben müssen. | | Anhalten von BitLocker: Typ des Anhaltens von BitLocker | Wählen Sie den Anhaltetyp aus.

Zeitplan – Wählen Sie diese Option, um den genauen Zeitraum einzugeben, während dem BitLocker angehalten wird. Legen Sie dann die Wiederholung des Zeitplans auf täglich der wöchentlich fest.
Benutzerdefiniert – Wählen Sie diese Option, um den Tag und die Uhrzeit für den Start und das Ende des Anhaltens von BitLocker einzugeben. | | Anhalten von BitLocker: Startzeit des Anhaltens von BitLocker | Geben Sie die Startzeit des Anhaltens von BitLocker ein. | | Anhalten von BitLocker: Endzeit des Anhaltens von BitLocker | Geben Sie die Endzeit des Anhaltens von BitLocker ein. | | Anhalten von BitLocker: Typ der geplanten Wiederholung | Legen Sie fest, ob das geplante Anhalten täglich oder wöchentlich wiederholt wird. Wählen Sie bei wöchentlicher Wiederholung die Wochentage, an denen der Zeitplan wiederholt werden soll. |

1. Wählen Sie nach Abschluss Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

Exchange ActiveSync-Profil

Exchange ActiveSync-Profile ermöglichen Ihnen die Konfiguration Ihrer Windows Desktop-Geräte, um auf Ihren Exchange ActiveSync-Server für die E-Mail- und Kalendernutzung zuzugreifen.

Verwenden Sie nur Zertifikate, die von einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle (ZS) signiert wurden. Fehler in Ihren Zertifikaten setzen Ihre anderweitig sicheren Verbindungen möglichen Man-in-the-Middle-Angriffen (MITM) aus. Derartige Angriffe beeinträchtigen die Vertrauenswürdigkeit und Integrität der zwischen Produktkomponenten übermittelten Daten, wodurch diese von Angreifern während der Übertragung abgefangen oder geändert werden könnten.

Das Exchange ActiveSync-Profil unterstützt den systemeigenen Mailclient für Windows Desktop. Die Konfiguration wechselt je nachdem, welchen Mailclient Sie gewählt haben.

Entfernen des Profils oder Ausführen von „Unternehmensdaten löschen“

Wird das Profil über den Befehl „Profil entfernen“, über Konformitätsrichtlinien oder über „Unternehmensdaten löschen“ entfernt, werden sämtliche E-Mail-Daten gelöscht, einschließlich:

• Benutzerkonto/Anmeldeinformationen
• E-Mail-Nachrichtendaten
• Informationen zu Kontakten und Kalender
• Anlagen, die im Speicher für interne Anwendungen gespeichert wurden

Benutzername und Kennwort

Falls Sie E-Mail-Benutzernamen haben, die sich von den E-Mail-Adressen der Benutzer unterscheiden, können Sie das Textfeld {EmailUserName} verwenden, das den bei der Verzeichnisdienstintegration importierten E-Mail-Benutzernamen entspricht. Selbst wenn die Namen Ihrer Benutzer mit deren E-Mail-Adressen identisch sind, sollten Sie das Textfeld {EmailUserName} verwenden, da es die bei der Verzeichnisdienstintegration importierten E-Mail-Adressen verwendet.

Erstellen Sie ein Exchange ActiveSync-Profil, um Windows Desktop-Geräten Zugriff auf Ihre Exchange ActiveSync-Server zum E-Mail- und Kalendergebrauch zu geben.

Konfigurieren eines Exchange ActiveSync-Profils

Erstellen Sie ein Exchange ActiveSync-Profil, um Windows Desktop-Geräten Zugriff auf Ihre Exchange ActiveSync-Server zum E-Mail- und Kalendergebrauch zu geben.

Hinweis: Workspace ONE UEM unterstützt Outlook 2016 für Exchange ActiveSync-Profile nicht. Die Profilkonfiguration der Exchange Web Services (EWS) für Outlook auf einem Windows Desktop-Gerät über Workspace ONE UEM wird in der Version Microsoft Exchange 2016 nicht mehr unterstützt.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.
   

2. Wählen Sie Windows und dann Windows Desktop als Plattform.

3. Wählen Sie Benutzerprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie die Exchange ActiveSync-Nutzlast.

6. Konfigurieren Sie die Exchange ActiveSync-Einstellungen:

   Einstellungen	Beschreibungen
   E-Mail-Client	Wählen Sie den Mailclient, den das EAS-Profil konfiguriert. Workspace ONE UEM unterstützt den nativen Mailclient.
   Kontoname	Geben Sie den Namen für das Exchange ActiveSync-Konto ein.
   Exchange ActiveSync Host	Geben Sie die URL oder die IP-Adresse für den Server ein, der den EAS-Server hostet.
   SSL verwenden	Aktivieren Sie diese Option, um die gesamte Kommunikation über Secure Socket Layer zu senden.
   Domäne	Geben Sie die E-Mail-Domäne ein. Das Profil unterstützt Nachschlagewerte zum Einfügen von Anmeldeinformationen des Registrierungsbenutzers.
   Benutzername	Geben Sie den E-Mail-Benutzernamen ein.
   E-Mail-Adresse	Geben Sie die E-Mail-Adresse ein. Bei diesem Textfeld handelt es sich um eine erforderliche Einstellung.
   Kennwort	Geben Sie das E-Mail-Kennwort ein.
   Identitätszertifikat	Wählen Sie das Zertifikat für die EAS-Nutzlast aus.
   Nächstes Synchronisierungsintervall (Minuten)	Wählen Sie die Häufigkeit in Minuten, in der das Gerät mit dem EAS-Server synchronisiert wird.
   Vergangene Tage mit ausstehender Mailsynchronisierung	Wählen Sie die Anzahl der vergangenen Tage, an denen E-Mails mit dem Gerät synchronisiert werden sollen.
   Diagnoseprotokollierung	Aktivieren Sie diese Option, um Informationen zur Fehlerbehandlung zu protokollieren.
   Datenschutz bei Sperre verlangen	Aktivieren Sie diese Option, um durchzusetzen, dass Daten geschützt sind, wenn das Gerät gesperrt ist.
   E-Mail-Synchronisierung zulassen	Aktivieren Sie diese Option, um die Synchronisierung von E-Mail-Nachrichten zuzulassen.
   Kontaktsynchronisierung zulassen	Aktivieren Sie diese Option, um die Synchronisierung von Kontakten zuzulassen.
   Kalendersynchronisierung zulassen	Aktivieren Sie diese Option, um die Synchronisierung von Kalenderereignissen zuzulassen.

7. Wählen Sie Speichern, um das Profil in Workspace ONE UEM Console beizubehalten, oder Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

Exchange-Webdienst-Profil

Erstellen Sie ein Exchange-Webdienst-Profil, um Endbenutzern von ihren Geräten aus den Zugriff auf E-Mail-Infrastrukturen des Unternehmens und Microsoft Outlook-Konten zu gewähren.

Wichtiger Hinweis: Bei der Erstkonfiguration muss das Gerät Zugriff auf den internen Exchange-Server haben.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Benutzerprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Profil Exchange-Webdienste und konfigurieren Sie die Einstellungen:

   Einstellungen	Beschreibungen
   Domäne	Geben Sie den Namen der E-Mail-Domäne ein, der der Endbenutzer angehört.
   E-Mail-Server	Geben Sie den Namen des Exchange-Servers ein.
   E-Mail-Adresse	Geben Sie die Adresse für das E-Mail-Konto ein.

6. Wählen Sie nach Abschluss des Vorgangs Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

   Durch die Entfernung eines Exchange-Webdienst-Profils werden alle Outlook-Konten vom Gerät entfernt.

Firewall-Profil

Erstellen Sie ein Firewall-Profil, um die nativen Einstellungen für die Windows-Desktop-Firewall zu konfigurieren. Dieses Profil verwendet erweiterte Funktionen als das (veraltete) Firewall-Profil.

Workspace ONE UEM vertraut dem OMA-DM-Agenten automatisch, um sicherzustellen, dass die Workspace ONE UEM Console immer mit Geräten kommunizieren kann.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie die Firewall-Nutzlast.

6. Konfigurieren Sie die globalen Einstellungen.

   Einstellung	Beschreibung
   Statusbehaftetes FTP	Legen Sie fest, wie die Firewall FTP-Datenverkehr verarbeitet. Wenn Sie „Aktivieren“ auswählen, verfolgt die Firewall den gesamten FTP-Datenverkehr. Wenn Sie Deaktivieren auswählen, überprüft die Firewall den FTP-Datenverkehr nicht.
   Leerlaufzeit der Sicherheitsverbindung	Wählen Sie Konfiguriert aus und legen Sie die maximale Zeit (in Sekunden) fest, die das Gerät wartet, bevor Sicherheitszuordnungen im Leerlauf gelöscht werden. Sicherheitsverbindungen sind eine Vereinbarung zwischen zwei Peers oder Endpoints. Diese Vereinbarungen enthalten alle Informationen, die für den sicheren Austausch von Daten erforderlich sind.
   Kodierung des vorinstallierten Schlüssels	Wählen Sie den Typ der Codierung aus, die für den vorinstallierten Schlüssel verwendet wird.
   IPSec-Ausnahmen	Wählen Sie die zu verwendenden IPSec-Ausnahmen aus.
   Überprüfung der Zertifikatswiderrufsliste	Wählen Sie aus, wie die Verifizierung der Zertifikatswiderrufsliste erzwungen werden soll.
   Authentifizierungssatz für Chancenübereinstimmung pro KM	Wählen Sie aus, wie Schlüsselmodule Authentifizierungs-Suites ignorieren. Durch Aktivierung dieser Option werden Schlüsselmodule gezwungen, nur die Authentifizierungs-Suites zu ignorieren, die Sie nicht unterstützen. Wenn Sie diese Option deaktivieren, werden die Schlüsselmodule gezwungen, den gesamten Authentifizierungssatz zu ignorieren, wenn sie nicht alle Authentifizierungs-Suites im Satz unterstützen.
   Paketwarteschlange aktivieren	Wählen Sie aus, wie die Paketwarteschlange auf dem Gerät funktioniert. Mit dieser Einstellung können Sie eine ordnungsgemäße Skalierung sicherstellen.

7. Konfigurieren Sie, wie sich die Firewall verhält, wenn sie mit Domäne, privaten und öffentlichen Netzwerken verbunden ist.

   Einstellung	Beschreibung
   Firewall	Legen Sie diese Option auf Aktivieren fest, um Richtlinieneinstellungen für den Netzwerkdatenverkehr zu erzwingen. Wenn diese Option deaktiviert ist, lässt das Gerät den gesamten Netzwerkdatenverkehr unabhängig von anderen Richtlinieneinstellungen zu.
   Ausgehende Aktion	Wählen Sie die Standardaktion aus, die die Firewall für ausgehende Verbindungen übernimmt. Wenn Sie diese Einstellung auf Blockieren festlegen, blockiert die Firewall den gesamten ausgehenden Datenverkehr, sofern nicht ausdrücklich anders angegeben.
   Eingehende Aktion.	Wählen Sie die Standardaktion aus, die die Firewall für eingehende Verbindungen übernimmt. Wenn Sie diese Einstellung auf Blockieren festlegen, blockiert die Firewall den gesamten eingehenden Datenverkehr, sofern nicht ausdrücklich anders angegeben.
   Unicast-Antworten auf Multicast- oder Broadcast-Netzwerkdatenverkehr	Legen Sie das Verhalten für die Antworten auf Multicast- oder Broadcast-Netzwerkdatenverkehr fest. Wenn Sie diese Option deaktivieren, blockiert die Firewall alle Antworten auf den Multicast- oder Broadcast-Netzwerkdatenverkehr.
   Benutzer benachrichtigen, wenn die Windows-Firewall eine neue App blockiert	Legen Sie das Benachrichtigungsverhalten für die Firewall fest. Wenn Sie Aktivieren auswählen, sendet die Firewall möglicherweise Benachrichtigungen an den Benutzer, wenn eine neue App blockiert wird. Wenn Sie Deaktivieren auswählen, sendet die Firewall keine Benachrichtigungen.
   Stealth-Modus	Um das Gerät auf den Stealth-Modus festzulegen, wählen Sie Aktivieren aus. Der Stealth-Modus verhindert, dass unbefugte Akteure Informationen über Netzwerkgeräte und -Dienste erhalten. Wenn diese Option aktiviert ist, blockiert der Stealth-Modus ausgehende ICMP-Nichterreichbarkeits- und TCP-Rücksetzungsnachrichten von Ports, ohne dass eine Anwendung diesen Port aktiv überwacht.
   IPSec-Netzwerkdatenverkehr im Stealth-Modus zulassen	Legen Sie fest, wie die Firewall nicht angeforderten, durch IPSec gesicherten Datenverkehr verarbeitet. Wenn Sie Aktivieren auswählen, erlaubt die Firewall den nicht angeforderten Netzwerkdatenverkehr über IPSec sicher. Diese Einstellung gilt nur, wenn Sie Stealth-Modus aktivieren.
   Regeln für lokale Firewall	Legen Sie fest, wie die Firewall mit lokalen Firewallregeln interagiert. Wenn Sie Aktivieren auswählen, folgt die Firewall den lokalen Regeln. Wenn Sie „Deaktivieren“ auswählen, ignoriert die Firewall die lokalen Regeln und setzt sie nicht durch.
   Regeln für lokale Verbindungen	Legen Sie fest, wie die Firewall mit lokalen Sicherheitsverbindungsregeln interagiert. Wenn Sie Aktivieren auswählen, folgt die Firewall den lokalen Regeln. Wenn Sie „Deaktivieren“ auswählen, ignoriert die Firewall lokale Regeln und setzt sie nicht durch, unabhängig von Schema- und Verbindungssicherheitsversion.
   Firewall-Regeln für globale Ports	Legen Sie fest, wie die Firewall mit Firewall-Regeln für globale Ports interagiert. Wenn Sie Aktivieren auswählen, folgt die Firewall den Firewall-Regeln für globale Ports. Wenn Sie Deaktivieren auswählen, ignoriert die Firewall die Regeln und setzt sie nicht durch.
   Autorisierte Anwendungsregeln	Legen Sie fest, wie die Firewall mit lokalen Regeln für autorisierte Anwendungen interagiert. Wenn Sie Aktivieren auswählen, folgt die Firewall den lokalen Regeln. Wenn Sie „Deaktivieren“ auswählen, ignoriert die Firewall die lokalen Regeln und setzt sie nicht durch.

8. Um eigene Firewallregeln zu konfigurieren, wählen Sie Firewall-Regel hinzufügen aus. Nachdem Sie eine Regel hinzugefügt haben, konfigurieren Sie die Einstellungen nach Bedarf. Sie können beliebig viele Regeln hinzufügen.

9. Wählen Sie anschließend Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

Firewall-Profil (Legacy)

Mit dem Firewall-Profil (Legacy) für Windows Desktop-Geräte können Sie die Windows Firewall-Einstellungen für Geräte konfigurieren. Sie sollten das neue Firewall-Profil für Windows-Desktop verwenden, da das neue Profil neue Windows-Funktionen verwendet.

Wichtiger Hinweis: Das Firewall-Profil erfordert, dass Workspace ONE Intelligent Hub auf dem Gerät installiert wird.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie die Nutzlast Firewall (Legacy).

6. Aktivieren Sie Von Windows empfohlene Einstellungen verwenden, um die von Windows empfohlenen Einstellungen zu verwenden und alle anderen in diesem Profil verfügbaren Optionen zu deaktivieren. Es werden automatisch die empfohlenen Einstellungen übernommen. Diese können nicht geändert werden.

7. Konfigurieren Sie die Einstellungen für Privates Netzwerk:

   Einstellungen	Beschreibung
   Firewall	Aktivieren Sie diese Option, um die Firewall zu verwenden, wenn das Gerät mit privaten Netzwerkverbindungen verbunden ist.
   Alle eingehenden Verbindungen blockieren, einschließlich der auf der Liste der zulässigen Anwendungen	Aktivieren Sie diese Option, um alle eingehenden Verbindungen zu blockieren. Diese Einstellung lässt ausgehende Verbindungen zu.
   Benutzer benachrichtigen, wenn die Windows-Firewall eine neue App blockiert	Aktivieren Sie diese Option, um die Anzeige von Benachrichtigungen zuzulassen, wenn die Windows Firewall eine neue Anwendung blockiert.

8. Konfigurieren Sie die Einstellungen für Öffentliches Netzwerk:

   Einstellungen	Beschreibung
   Firewall	Aktivieren Sie diese Option, um die Firewall zu verwenden, wenn das Gerät mit privaten Netzwerkverbindungen verbunden ist.
   Alle eingehenden Verbindungen blockieren, einschließlich der auf der Liste der zulässigen Anwendungen	Aktivieren Sie diese Option, um alle eingehenden Verbindungen zu blockieren. Diese Einstellung lässt ausgehende Verbindungen zu.
   Benutzer benachrichtigen, wenn die Windows-Firewall eine neue App blockiert	Aktivieren Sie diese Option, um die Anzeige von Benachrichtigungen zuzulassen, wenn die Windows Firewall eine neue Anwendung blockiert.

9. Wählen Sie nach Abschluss des Vorgangs Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

Kiosk-Profil

Konfigurieren Sie ein Kiosk-Profil, um Ihr Windows Desktop-Gerät in ein Multi-App-Kiosk-Gerät zu verwandeln. Mit diesem Profil können Sie die Anwendungen konfigurieren, die im Startmenü des Geräts angezeigt werden.

Sie können Ihr eigenes benutzerdefiniertes XML hochladen, um das Kiosk-Profil zu konfigurieren oder Ihr Kiosk als Teil des Profils zu erstellen. Dieses Profil unterstützt keine Domänenkonten oder Domänengruppen. Der Benutzer ist ein integriertes Benutzerkonto, das von Windows erstellt wurde.

• Unterstützte Anwendungen
  • .EXE-Apps
    • Bei MSI- und ZIP-Dateien müssen Sie den Dateipfad hinzufügen.
  • Integrierte Anwendungen
    • Ausgewählte integrierte Anwendungen werden automatisch zum Designer hinzugefügt. Zu diesen Anwendungen zählen folgende:
    • Presse
    • Microsoft Edge
    • Wetter
    • Wecker & Uhr
    • Haftnotizen
    • Karten
    • Taschenrechner und Fotos.

Verfahren

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein. Sie müssen eine Zuweisung hinzufügen, bevor Sie das Kiosk-Profil konfigurieren.

5. Wählen Sie das Kiosk-Profil aus.

6. Wenn Ihr benutzerdefiniertes XML bereits vorhanden ist, wählen Sie die Option „Kiosk-XML hochladen“ aus und vervollständigen Sie die Einstellungen für Zugewiesener Zugriffs-XML-Code. Wählen Sie Hochladen aus und fügen Sie Ihren zugewiesenen Zugriffskonfigurations-XML-Code hinzu. Sie können Ihren XML-Code auch in das Textfeld einfügen. Weitere Informationen finden Sie unter https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp.

7. Wenn Sie keinen benutzerdefinierten XML-Code haben, wählen Sie Ihren Kiosk erstellen und konfigurieren Sie das Layout der Anwendung.
   
   Dieses Layout ist das Startmenü des Geräts in einem Raster. Die Anwendungen, die auf der linken Seite angezeigt werden, sind die Anwendungen, die der von die Ihnen ausgewählten Zuweisungsgruppe zugewiesen wurden. Einige Anwendungen weisen in der oberen rechten Ecke ein Zahnradsymbol mit einem roten Punkt auf. Dieses Symbol wird bei Anwendungen angezeigt, bei denen zusätzliche Einstellungen erforderlich sind, wenn sie dem Kiosk-Layout hinzugefügt werden. Nachdem Sie die Einstellungen konfiguriert haben, wird der rote Punkt nicht mehr angezeigt, aber das Symbol bleibt. Sie können das Pfeilsymbol zum Ändern der Größe der Anwendungen auswählen. Für klassische Desktop-Apps können Sie nur „klein“ und „mittel“ wählen.
   
   Für Anwendungen, die zusätzliche Supportanwendungen benötigen, unterstützt das Kiosk-Profil das Hinzufügen dieser Supportanwendungen über die Option „Zusätzliche Einstellungen“. Beispielsweise erfordert der VMware Horizon-Client für die Ausführung im Kiosk-Modus bis zu vier Supportanwendungen. Fügen Sie diese zusätzlichen Supportanwendungen bei der Konfiguration der primären Kiosk-Anwendung hinzu, indem Sie die zusätzlichen Pfade der ausführbaren Datei der Anwendung hinzufügen.

8. Ziehen Sie alle Anwendungen, die Sie zum Startmenü hinzufügen möchten, in die Mitte. Sie können bis zu vier Gruppen für Ihre Anwendungen erstellen. Diese Gruppen kombinieren Ihre Anwendungen im Startmenü in Abschnitte.

9. Wenn Sie alle gewünschten Anwendungen und Gruppen hinzugefügt haben, wählen Sie Speichern.

10. Wählen Sie auf dem Bildschirm mit dem Kiosk-Profil Speichern und veröffentlichen.

Ergebnisse

Das Profil wird erst auf dem Gerät installiert, wenn alle Anwendungen installiert wurden, die im Profil enthalten sind. Nachdem das Gerät das Profil erhalten hat, wird das Gerät neu gestartet und im Kiosk-Modus ausgeführt. Wenn Sie das Profil vom Gerät entfernen, deaktiviert das Gerät den Kiosk-Modus, startet neu und entfernt den Kiosk-Benutzer.

OEM-Update-Profil

Konfigurieren Sie OEM-Update-Einstellungen für ausgewählte Dell-Unternehmensgeräte mit dem OEM-Update-Profil. Für dieses Profil ist eine Integration in Dell Command | Update erforderlich.

Die Unterstützung für OEM-Update-Profileinstellungen ist je nach Dell-Unternehmensgerät verschieden. Workspace ONE UEM überträgt nur die Einstellungen per Push, die tatsächlich vom Gerät unterstützt werden. Sie können alle OEM-Updates, die auf Ihren Windows Desktop-Geräten bereitgestellt wurden, auf der Seite Geräteupdates unter Ressourcen > Geräteupdates > Registerkarte „OEM-Updates“ finden.

Hinweis: Das OEM-Aktualisierungsprofil unterstützt Dell Command | Update Versionen 3.x und höher. Die aktuelle Version von Dell Command | Update wird mit jeder Konsolenversion getestet.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie die OEM-Updates-Nutzlast aus und konfigurieren Sie folgende Einstellungen.

   • Auf Updates prüfen: Wählen Sie das Intervall aus, in dem auf Aktualisierungen geprüft werden soll.
   • Wochentag: Wählen Sie den Wochentag aus, an dem nach Aktualisierungen gesucht werden soll. Dies wird nur angezeigt, wenn für Auf Updates prüfen der Eintrag Wöchentlich festgelegt ist.
   • Tag des Monats: Wählen Sie den Tag des Monats aus, an dem auf Aktualisierungen geprüft werden soll. Dies wird nur angezeigt, wenn für Auf Updates prüfen der Eintrag Monatlich festgelegt ist.
   • Uhrzeit: Wählen Sie die Uhrzeit, zu der auf Aktualisierungen geprüft werden soll.
   • Update-Verhalten: Wählen Sie die Aktionen aus, die beim Prüfen auf Updates ergriffen werden sollen.
     • Wählen Sie Prüfen und Benachrichtigung aus, wenn das System nach Updates suchen und den Benutzer benachrichtigen soll, dass Updates verfügbar sind.
     • Wählen Sie Prüfen, Download und Benachrichtigung aus, wenn das System nach Updates suchen, verfügbare Updates herunterladen und den Benutzer benachrichtigen soll, dass Updates für die Installation verfügbar sind.
     • Wählen Sie Prüfen, Benachrichtigung, Anwendung und Neustart aus, wenn das System nach Updates suchen, verfügbare Updates herunterladen, die Updates installieren und das Gerät neu starten soll.
   • Neustartverzögerung: Wählen Sie aus, wie lange das Gerät den Neustart nach dem Download von Updates verzögert.
   • Dringende Updates: Wählen Sie Aktivieren aus, um dringende Updates auf das Gerät anzuwenden.
   • Empfohlene Updates: Wählen Sie Aktivieren aus, um empfohlene Updates auf das Gerät anzuwenden.
   • Optionale Updates: Wählen Sie Aktivieren aus, um optionale Updates auf das Gerät anzuwenden.
   • Hardwaretreiber: Wählen Sie Aktivieren aus, um Hardwaretreiber-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.
   • Anwendungssoftware: Wählen Sie Aktivieren aus, um Anwendungssoftware-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.
   • BIOS-Updates: Wählen Sie Aktivieren aus, um BIOS-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden. Wenn die BIOS-Kennwörter vom BIOS-Profil verwaltet werden, müssen Sie das Kennwort nicht deaktivieren.
   • Firmware-Updates: Wählen Sie Aktivieren aus, um Firmware-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.
   • Dienstprogrammsoftware: Wählen Sie Aktivieren aus, um Dienstprogrammsoftware-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.
   • Andere: Wählen Sie Aktivieren aus, um andere Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.
   • Audio: Wählen Sie Aktivieren aus, um Audiogeräte-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.
   • Chipsatz: Wählen Sie Aktivieren aus, um Chipsatzgeräte-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.
   • Eingabe: Wählen Sie Aktivieren aus, um Eingabegeräte-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.
   • Netzwerk: Wählen Sie Aktivieren aus, um Netzwerkgeräte-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.
   • Speicher: Wählen Sie Aktivieren aus, um Speichergeräte-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.
   • Video: Wählen Sie Aktivieren aus, um Videogeräte-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.
   • Andere: Wählen Sie Aktivieren aus, um andere Geräte-Updates anzuwenden, die vom OEM des Geräts bereitgestellt werden.

6. Wählen Sie Speichern und veröffentlichen.

Kennwortprofil

Verwenden Sie ein Kennungsprofil, um Ihre Windows-Geräte zu schützen, sodass jedes Mal, wenn ein Gerät aus dem Ruhezustand zurückkehrt, eine Kennung angefordert wird. Erfahren Sie, wie ein Kennungsprofil bei Workspace ONE UEM sicherstellt, dass alle Ihre sensiblen Unternehmensinformationen auf verwalteten Geräten geschützt bleiben.

Kennungen, die mit diesem Profil festgelegt wurden, treten nur dann in Kraft, wenn die Kennung strenger ist als die vorhandenen Kennungen. Wenn die vorhandene Kennung des Microsoft-Kontos beispielsweise striktere Einstellungen erfordert als die Anforderungen für die Kennungsnutzlast, nutzt das Gerät weiterhin die Kennung des Microsoft-Kontos.

Wichtiger Hinweis: Die Kennungsnutzlast gilt nicht für Geräte, die in einer Domäne eingebunden sind.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Profil Kennwort aus.

6. Konfigurieren Sie die Kennworteinstellungen:

   Einstellungen	Beschreibungen
   Kennwortkomplexität	Setzen Sie diese Einstellung auf „Einfach“ oder „Komplex“, je nachdem, wie komplex ein Kennwort sein soll.
   Alphanumerische Zeichen verlangen	Aktivieren Sie diese Option, damit das Kennwort ein alphanumerisches Kennwort sein muss.
   Minimale Kennwortlänge	Geben Sie die minimale Anzahl an Zeichen ein, die ein Kennwort enthalten muss.
   Maximales Kennwortalter (Tage)	Geben Sie die Anzahl an Tagen ein, die verstreichen können, bis der Endbenutzer das Kennwort ändern muss.
   Minimales Kennwortalter (Tage)	Geben Sie die Anzahl an Tagen ein, die verstreichen können, bis der Endbenutzer das Kennwort ändern muss.
   Zeitlimit für Gerätesperre (in Minuten)	Geben Sie die Anzahl an Minuten ein, bis das Gerät automatisch gesperrt wird und die Kennung erneut eingegeben werden muss.
   Maximale Anzahl an Fehlversuchen	Geben Sie die maximale Anzahl an Eingabeversuchen ein, bis das Gerät neu gestartet wird.
   Kennwortverlauf (Vorkommen)	Geben Sie die Anzahl der Vorkommen ein, in denen ein Kennwort gespeichert wird. Sollte der Endbenutzer ein Kennwort innerhalb dieser gespeicherten Anzahl wiederverwenden wollen, wird dieses Kennwort nicht akzeptiert. Wenn Sie den Verlauf beispielsweise auf 12 setzen, kann der Endbenutzer die letzten 12 Kennwörter nicht wiederverwenden.
   Kennwort ablaufen lassen	Aktivieren Sie diese Option, um das vorhandene Kennwort auf dem Gerät ablaufen zu lassen und die Erstellung eines neuen Kennworts erforderlich zu machen. Erfordert, dass Workspace ONE Intelligent Hub auf dem Gerät installiert ist.
   Kennwortgültigkeitsdauer (Tage)	Konfigurieren Sie, wie viele Tage ein Kennwort gültig ist, bevor es abläuft.
   Umkehrbare Verschlüsselung für Kennwortspeicherung	Aktivieren Sie diese Option, wenn das Betriebssystem Kennwörter mithilfe der umkehrbaren Verschlüsselung speichern soll. Die Speicherung der Kennwörter mithilfe der umkehrbaren Verschlüsselung ist im Wesentlichen mit der Speicherung des reinen Texts der Kennwörter vergleichbar. Aus diesem Grund sollten Sie diese Richtlinie nur aktivieren, wenn die Anwendungsanforderungen die Notwendigkeit zum Schutz der Kennwortinformationen überwiegen.
   Protection Agent für Windows-Geräte verwenden	Aktivieren Sie diese Option, um Workspace ONE Intelligent Hub anstelle der systemeigenen DM-Funktion zur Durchsetzung von Kennwortprofileinstellungen zu verwenden. Aktivieren Sie diese Einstellungen, wenn bei der Verwendung der systemeigenen DM-Funktion Probleme auftreten.

7. Wählen Sie nach Abschluss Speichern und veröffentlichen aus, um das Profil per Push auf Ihre Geräte zu übertragen.

Peer Distribution-Profil

Workspace ONE Peer Distribution verwendet die systemeigene Windows-BranchCache-Funktion, die in das Windows-Betriebssystem integriert ist. Diese Funktionalität bietet eine Alternative zur Peer-to-Peer-Technologie.

Konfigurieren Sie die Peer-zu-Peer-Verteilung auf Ihren Windows-Geräten mit dem Profil Peer Distribution Windows Desktop. Die Peer-zu-Peer-Verteilung unterstützt die BranchCache-Modi Verteilt, Gehostet und Lokal sowie zusätzliche Konfigurationseinstellungen, wie z. B. Prozentsatz des Festplattenspeichers und maximales Cachealter. Sie können die BranchCache-Statistiken einer Anwendung auch über den Bereich „Details zur Peer-Verteilung“ unter Apps und Bücher > Systemeigen > Listenansicht > Anwendungsdetails anzeigen.

Über die Peer-zu-Peer-Verteilung mit Workspace ONE können Sie Ihre Windows-Anwendungen für Unternehmensnetzwerke bereitstellen. Dieses Profil verwendet die native Windows-BranchCache-Funktionalität, die in das Windows-Betriebssystem integriert ist.

Konfigurieren eines Peer-zu-Peer-Verteilungsprofils

Über die Peer-zu-Peer-Verteilung mit Workspace ONE können Sie Ihre Windows-Anwendungen für Unternehmensnetzwerke bereitstellen. Dieses Profil verwendet die native Windows-BranchCache-Funktionalität, die in das Windows-Betriebssystem integriert ist.

Bevor Sie das Peer-zu-Peer-Verteilungsprofil für die Peer-to-Peer-Verteilung verwenden können, müssen Sie die Anforderungen für die Peer-zu-Peer-Verteilung mit Workspace ONE erfüllen.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.
   

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Peer-zu-Peer-Verteilungsprofil und dann Konfigurieren aus.

   Sie müssen einen Dateispeicher konfiguriert haben, bevor Sie ein Peer-zu-Peer-Verteilungsprofil erstellen können. Weitere Informationen finden Sie unter Anforderungen für die Peer-zu-Peer-Verteilung mit Workspace ONE.

6. Wählen Sie den Workspace ONE Peer-zu-Peer-Verteilungsmodus aus, den Sie verwenden möchten.

   Einstellung	Beschreibung
   Verteilt	Wählen Sie diese Option aus, damit Ihre Geräte Apps von Peers in einem lokalen Subnetz herunterladen.
   Gehostet	Wählen Sie diese Option aus, damit Ihre Geräte Apps von einem gehosteten Cacheserver herunterladen.
   Local	Wählen Sie diese Option aus, damit Ihre Geräte Apps nur aus dem lokalen Geräte-Caching herunterladen.
   Deaktiviert	Wählen Sie diese Option aus, um die Peer-zu-Peer-Verteilung zu deaktivieren.

7. Konfigurieren Sie die Cacheeinstellungen:

   Einstellung	Beschreibung
   Maximales Cachealter (Tage)	Geben Sie die maximale Anzahl von Tagen ein, die Peer-zu-Peer-Verteilungselemente im Cache verbleiben sollen, bevor das Gerät die Elemente bereinigt.
   Prozentsatz des für BranchCache verwendeten Festplattenspeichers	Geben Sie die Menge an lokalem Festplattenspeicherplatz ein, die das Gerät für die Peer-zu-Peer-Verteilung verwenden soll.

8. Wenn Sie den Verteilungsmodus auf „Gehostet“ festlegen, konfigurieren Sie die Einstellungen des gehosteten Cacheservers. Sie müssen mindestens einen gehosteten Cacheserver hinzufügen, von dem bzw. an den Geräte Inhalte herunterladen und hochladen können.

9. Wählen Sie Speichern und veröffentlichen.

Personalisierungsprofil

Konfigurieren Sie ein Personalisierungsprofil für Windows Desktop-Geräte, um die Windows-Personalisierungseinstellungen zu konfigurieren. Diese Einstellungen umfassen den Desktop-Hintergrund und die Startmenüeinstellungen.

Die Optionen in diesem Profil sind alle optional. Sie sollten nur die Einstellungen konfigurieren, die Sie benötigen, um Ihre Personalisierungsanforderungen zu erfüllen.

Dieses Profil erstellt kein Multi-App-Kiosk-Gerät wie das Kiosk-Profil.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Profil Personalisierung.

6. Konfigurieren Sie die Bildeinstellungen:

   Einstellungen	Beschreibungen
   Desktopbild	Wählen Sie Hochladen, um ein Bild hinzuzufügen, das als Desktop-Hintergrund verwendet werden soll.
   Sperrbildschirm-Bild	Wählen Sie Hochladen, um ein Bild hinzuzufügen, das als Hintergrund für den Sperrbildschirm verwendet werden soll.

7. Laden Sie eine XML-Start-Layout-Datei hoch. Diese XML-Datei überschreibt das standardmäßige Layout des Startmenüs und verhindert, dass Benutzer das Layout ändern. Sie können das Layout der Kacheln, die Anzahl der Gruppen und die Anwendungen in jeder Gruppe konfigurieren. Sie müssen diese XML-Datei selbst erstellen. Weitere Informationen zum Erstellen einer XML-Start-Layout-Datei finden Sie unter https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout.

8. Konfigurieren Sie die Einstellungen für die Startmenürichtlinien. Mit diesen Einstellungen können Sie steuern, welche Verknüpfungen im Startmenü zulässig sind. Sie können auch das Ausblenden oder Anzeigen für bestimmte Optionen auswählen, beispielsweise für die Option Herunterfahren oder App-Liste.

9. Wählen Sie Speichern und veröffentlichen.

Proxy-Profil

Erstellen Sie ein Proxy-Profil, um einen Proxy-Server für Ihre Windows Desktop-Geräte zu konfigurieren. Diese Einstellungen gelten nicht für VPN-Verbindungen.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Proxy-Profil und konfigurieren Sie die Einstellungen:

   Einstellungen	Beschreibung
   Einstellungen automatisch erkennen	Aktivieren Sie diese Option, damit das System automatisch versucht, den Pfad zu einem PAC-Skript (Proxy Auto-Config) zu finden.
   Setup-Skript verwenden	Aktivieren Sie diese Option, um den Dateipfad für das PAC-Skript einzugeben.
   Skriptadresse	Geben Sie den Dateipfad für das PAC-Skript ein. Diese Option wird angezeigt, wenn Setup-Skript verwenden aktiviert ist.
   Proxy-Server verwenden	Aktivieren Sie diese Option, um einen statischen Proxy-Server für Ethernet- und WLAN-Verbindungen zu verwenden. Dieser Proxy-Server wird für alle Protokolle verwendet. Diese Einstellungen gelten nicht für VPN-Verbindungen.
   Adresse zu Proxy-Server	Geben Sie die Adresse des Proxy-Servers ein. Die Adresse muss dem folgenden Format entsprechen: <server>[“:”<port>].
   Ausnahmen	Geben Sie alle Adressen ein, die den Proxy-Server nicht verwenden dürfen. Das System wird den Proxy-Server für diese Adressen nicht verwenden. Trennen Sie die Eingaben mit einem Semikolon (;).
   Proxy für lokale (Intranet-)Adressen verwenden	Aktivieren Sie diese Option, um den Proxy-Server für lokale (Intranet-) Adressen zu verwenden.

6. Wählen Sie Speichern und veröffentlichen.

Restriktionsprofil

Deaktivieren Sie mithilfe des Restriktionsprofils den Zugriff des Endbenutzers auf Gerätefunktionen, um sicherzustellen, dass Ihre Windows-Geräte nicht manipuliert werden. Erfahren Sie, wie Sie mit dem Restriktionsprofil von Workspace ONE UEM steuern, welche Einstellungen und Optionen Endbenutzer verwenden können.

Die Restriktionen, die auf ein Gerät angewendet werden, hängen von der Windows-Version ab, die Sie verwenden.

1. Navigieren Sie zu Ressourcen > Profile und Baselines > Profile und wählen Sie Hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Profil Restriktion aus.

6. Konfigurieren Sie die Einstellungen für Administration:

   Einstellungen	Beschreibung
   Manuellen Registrierungsaufhebung von Mobile Device Management zulassen	Sie können zulassen, dass der Endbenutzer die Registrierung mittels Arbeitsbereich/Arbeitsplatzzugriff über Workspace ONE UEM manuell aufhebt. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Laufzeitkonfigurations-Hub zur Installation von Provisioning-Paketen	Aktivieren Sie diese Option, um die Verwendung von Provisioning-Paketen zum Registrieren von Geräten in Workspace ONE UEM (Massenbereitstellung) zu erlauben. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Standort	Legen Sie fest, wie Ortungsdienste auf dem Gerät ausgeführt werden. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Laufzeitkonfigurations-Agent zur Entfernung von Provisioning-Paketen	Aktivieren Sie diese Option, um das Entfernen von Provisioning-Paketen zu erlauben. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Diagnose- und Nutzungstelemetriedaten senden	Wählen Sie die Ebene der Telemetriedaten aus, die an Microsoft gesendet werden sollen. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Microsoft-Konto für MDM verlangen	Aktivieren Sie diese Option, damit für Geräte zum Empfang von Richtlinien oder Anwendungen ein Microsoft-Konto erforderlich ist.
   Microsoft-Konto für Modern-Anwendungen verlangen	Aktivieren Sie diese Option, damit für Geräte zum Herunterladen und Installieren von Windows-Anwendungen ein Microsoft-Konto erforderlich ist.
   Provisioning-Pakete müssen über ein Zertifikat verfügen, das von einer Zertifizierungsstelle signiert wurde, welcher das Gerät vertraut	Aktivieren Sie diese Option, damit für alle Provisioning-Pakete (Massenbereitstellung) ein vertrauenswürdiges Zertifikate erforderlich ist. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Dem Benutzer ermöglichen, Einstellungen der automatischen Wiedergabe zu ändern	Erlauben Sie es dem Benutzer, das Programm zu ändern, das für die automatische Wiedergabe von Dateitypen verwendet wird. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Dem Benutzer ermöglichen, Datenoptimierungseinstellungen zu ändern	Erlauben Sie es dem Benutzer, die Datenoptimierungseinstellungen zu ändern, um die Datennutzung auf dem Gerät einzuschränken. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Datum/Uhrzeit	Erlauben Sie es dem Benutzer, die Einstellungen für Datum/Uhrzeit zu ändern. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Sprache	Erlauben Sie es dem Benutzer, die Spracheinstellungen zu ändern. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Dem Benutzer ermöglichen, Energie- und Energiespareinstellungen zu ändern	Erlauben Sie es dem Benutzer, die Energie- und Energiespareinstellungen zu ändern. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Region	Erlauben Sie es dem Benutzer, die Region zu ändern. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Dem Benutzer ermöglichen, Anmeldeoptionen zu ändern	Erlauben Sie es dem Benutzer, Anmeldeoptionen zu ändern. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   VPN	Erlauben Sie es dem Benutzer, die VPN-Einstellungen zu ändern. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Dem Benutzer ermöglichen, Arbeitsbereichseinstellungen zu ändern	Erlauben Sie es dem Benutzer, die Arbeitsbereichseinstellungen und MDM-Funktionen auf dem Gerät zu ändern. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Dem Benutzer ermöglichen, Kontoeinstellungen zu ändern	Erlauben Sie es dem Benutzer, Kontoeinstellungen zu ändern. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Bluetooth	Erlauben Sie die Verwendung von Bluetooth auf dem Gerät. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Gerät - Bluetooth-Werbung	Erlauben Sie dem Gerät, Bluetooth-Werbung zu übertragen. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Bluetooth-fähige Geräte können das Gerät ermitteln	Erlauben Sie die Bluetooth-Erkennung des Geräts durch andere Bluetooth-Geräte. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Kamera	Erlauben Sie den Zugriff auf die Kamerafunktion des Geräts. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Cortana	Erlauben Sie den Zugriff auf die Cortana-Anwendung. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Geräteermittlungs-UX auf Sperrbildschirm	Erlauben Sie die Geräteermittlungs-UX auf Sperrbildschirm, um Projektoren und andere Bildschirme zu erkennen. Wenn diese Option aktiviert ist, funktionieren die Tastenkombinationen Windows+P und Windows+K nicht. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   IME-Protokollierung	Aktivieren Sie diese Option, um dem Benutzer zu ermöglichen, die Protokollierung für falsche Konvertierungen zu aktivieren bzw. zu deaktivieren und automatische Optimierungsergebnisse in einer Datei sowie verlaufsbasierte Eingabevorhersagen zu speichern. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   IME-Netzwerkzugriff	Aktivieren Sie diese Option, um dem Benutzer die Aktivierung des offenen erweiterten Wörterbuchs zu ermöglichen. So werden Internetsuchen zur Bereitstellung von Vorschlägen, die nicht im lokalen Wörterbuch eines Geräts vorhanden sind, integriert. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   SmartScreen	Aktivieren Sie diese Option, um dem Endbenutzer die Verwendung der Microsoft SmartScreen-Funktion zu ermöglichen. Dies ist eine Form von Sicherheit, die den Endbenutzer dazu auffordert, zum Entsperren des Geräts Formen eines Bilds zu zeichnen. Mit dieser Option können Endbenutzer auch PINs als Kennwort verwenden. Hinweis: Nachdem Sie die Funktion deaktiviert haben, können Sie sie nicht wieder über Workspace ONE UEM-MDM aktivieren. Um sie wieder zu aktivieren, müssen Sie das Gerät auf die Werkseinstellungen zurücksetzen. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Suche nutzt Standortinformationen	Erlauben Sie es der Suche, die Standortinformationen des Geräts zu verwenden. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Speicherkarte	Aktivieren Sie diese Option, um die Verwendung einer SD-Karte und der USB-Ports des Geräts zuzulassen. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Windows-Synchronisierungseinstellungen	Erlauben Sie es dem Benutzer, Windows-Einstellungen geräteübergreifend zu synchronisieren. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Windows-Tipps	Lassen Sie Windows-Tipps auf dem Gerät als Unterstützung für den Benutzer zu. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Einstellungen der Benutzerkontosteuerung	Wählen Sie die Ebene der Benachrichtigung aus, die an Endbenutzer gesendet wird, wenn eine Änderung am Betriebssystem Geräteadministratorrechte erfordert.
   Vertrauenswürdige Microsoft Store-fremde Anwendungen zulassen	Ermöglicht das Herunterladen und Installieren von vertrauenswürdigen Microsoft Store-fremden Anwendungen.
   Automatische Aktualisierung über App Store	Aktivieren Sie diese Option, um die automatische Aktualisierung von Anwendungen, die aus dem Microsoft Store heruntergeladen wurden, zuzulassen, wenn neue Versionen verfügbar sind. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Entsperrung durch Entwickler zulassen	Lassen Sie die Verwendung der Entsperrungseinstellung durch Entwickler zum Querladen von Anwendungen auf Geräten zu. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   DVR- und Spielübertragung zulassen	Aktivieren Sie diese Option, um die Aufnahme und Übertragung von Spielen Auf dem Gerät zu ermöglichen. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Datenfreigabe unter mehreren Benutzern der gleichen Anwendung zulassen	Erlauben Sie die Freigabe von Daten unter mehreren Benutzern einer Anwendung. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Anwendungsdaten auf Systemvolume beschränken	Damit werden die Anwendungsdaten auf dasselbe Volume wie das BS beschränkt, anstatt auf sekundäre Volumes oder Wechselmedien. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Installation von Anwendungen auf Systemlaufwerk beschränken	Damit wird die Installation von Anwendungen auf das Systemlaufwerk beschränkt, anstatt auf sekundäre Volumes oder Wechselmedien. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Automatisch mit WLAN Hotspots verbinden	Aktivieren Sie diese Option, um dem Gerät zu erlauben, über die Wi-Fi Sense-Funktion automatisch eine Verbindung zu WLAN-Hotspots herzustellen. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Mobilfunkdaten im Roamingbetrieb	Aktivieren Sie diese Option, um die Verwendung von Mobilfunkdaten im Roamingbetrieb zu ermöglichen. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Internet-Freigabe	Aktivieren Sie diese Option, um die Internet-Freigabe zwischen verschiedenen Geräten zu ermöglichen. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Datennutzung im Roamingbetrieb	Aktivieren Sie diese Option, damit Endbenutzer Daten im Roamingbetrieb übertragen und empfangen können. Diese Restriktion gilt für alle Windows-Geräte.
   VPN über Mobilfunk	Erlauben Sie die VPN-Nutzung über Mobilfunkverbindungen. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   VPN Roaming über Mobilfunk	Erlauben Sie die VPN-Nutzung über Mobilfunkverbindungen im Roamingbetrieb. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   AutoAusfüllen	Erlauben Sie die Verwendung der AutoAusfüllen-Funktion zur Eingabe von Benutzerinformationen. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Cookies	Erlauben Sie die Verwendung von Cookies. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Nicht nachverfolgen	Erlauben Sie die Verwendung von „Nicht nachverfolgen“-Anfragen. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Kennwortmanager	Erlauben Sie die Verwendung eines Kennwortmanagers. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Pop-ups	Erlauben Sie Popup-Fenster im Browser. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Suchvorschläge in Adressleiste	Erlauben Sie, dass Suchvorschläge in der Adressleiste angezeigt werden. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   SmartScreen	Erlauben Sie die Verwendung von SmartScreen zur Filterung von gefährlichen Websites und Inhalten. Diese Einschränkung wird für Geräte mit der Windows Home-Edition nicht unterstützt.
   Intranet-Verkehr an Internet Explorer senden	Erlauben Sie für Intranet-Verkehr die Verwendung von Internet Explorer. Diese Restriktion gilt für alle Windows-Geräte.
   Unternehmenssitelisten-URL	Geben Sie die URL für eine Unternehmenssiteliste ein. Diese Restriktion gilt für alle Windows-Geräte.

7. Wählen Sie nach Abschluss des Vorgangs Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

SCEP-Profil

SCEP-Profile (Simple Certificate Enrollment Protocol) ermöglichen Ihnen die automatische Installation von Zertifikaten auf Geräten ohne Endbenutzer-Interaktion.

Selbst mit sicheren Passcodes und anderen Beschränkungen bleibt Ihre Infrastruktur für Brute-Force-Angriffe, Wörterbuchangriffe und Fehler durch Mitarbeiter anfällig. Zur erhöhten Sicherheit können Sie digitale Zertifikate implementieren, um Ihr Unternehmensinventar zu schützen. Um diese Zertifikate automatisch mithilfe von SCEP auf Geräten zu installieren, müssen Sie zuerst eine Zertifizierungsstelle festlegen und dann neben Ihrer EAS-, WLAN- oder VPN-Nutzlast eine SCEP-Nutzlast konfigurieren. Jede dieser Nutzlasten weist Einstellungen auf, mit denen die in der SCEP-Nutzlast definierte Zertifizierungsstelle zugeordnet wird.

Um Zertifikate per Push auf Geräte zu übertragen, müssen Sie eine SCEP-Nutzlast als Teil der Profile konfigurieren, die Sie für EAS-, WLAN- und VPN-Einstellungen erstellt haben.

Konfigurieren eines SCEP-Profils

Bei einem SCEP-Profil werden automatisch Zertifikate auf den Geräten installiert, die zur Authentifizierung des Geräts dienen.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.
   

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Benutzerprofil oder Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das SCEP-Profil.

6. Konfigurieren Sie die SCEP-Einstellungen, insbesondere folgende:

   Einstellungen	Beschreibungen
   Anmeldedatenquelle	Dieses Dropdown-Menü ist immer auf „Festgelegte Zertifizierungsstelle“ eingestellt.
   Zertifizierungsstelle	Wählen Sie die zu verwendende Zertifizierungsstelle aus.
   Zertifikatsvorlage	Wählen Sie die für das Zertifikat verfügbare Vorlage aus.
   Aufbewahrungsort des Schlüssels	Wählen Sie den Aufbewahrungsort des privaten Zertifikatschlüssels aus: TPM, sofern vorhanden – Wählen Sie diese Option aus, um den privaten Schlüssel auf einem Trusted Platform Module (TPM) zu speichern, sofern ein solches auf dem Gerät vorhanden ist; anderenfalls wird er im Betriebssystem gespeichert. TPM erforderlich – Wählen Sie diese Option aus, um den privaten Schlüssel auf einem Trusted Platform Module zu speichern. Wenn kein TPM vorhanden sein sollte, wird das Zertifikat nicht installiert und ein Fehler wird auf dem Gerät angezeigt. Software – Wählen Sie diese Option aus, um den privaten Schlüssel im Betriebssystem des Geräts zu speichern. Passport – Wählen Sie diese Option aus, um den privaten Schlüssel in Microsoft Passport zu speichern. Für diese Option ist die Azure AD-Integration erforderlich.
   Name des Containers	Geben Sie den „Passport for Work“-Containernamen an (Passport for Work wird jetzt als „Windows Hello for Business“ bezeichnet). Diese Einstellung wird angezeigt, wenn Sie Schlüssel-Speicherort auf Passport festlegen.

7. Konfigurieren Sie das WLAN-, VPN- oder EAS-Profil.

8. Wählen Sie nach Abschluss des Vorgangs Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

Einzelanwendungsmodus-Profil

Das Einzelanwendungsmodus-Profil ermöglicht Ihnen, den Zugriff auf dem Gerät auf eine einzige Anwendung zu beschränken. Im Einzelanwendungsmodus wird das Gerät auf eine einzelne Anwendung beschränkt, bis die Nutzlast wieder aufgehoben wird. Die Richtlinie wird nach einem Neustart des Geräts aktiviert.

Der Einzelanwendungsmodus weist einige Anforderungen und Beschränkungen auf.

• Nur bei Windows Universal- oder Modern-Anwendungen. Der Einzelanwendungsmodus unterstützt keine .msi- oder .exe-Legacy-Anwendungen.
• Dieser darf nur von lokalen Standardbenutzern verwendet werden. Er darf nicht von Domänenbenutzern, Administratorbenutzern, Benutzern des Microsoft-Kontos oder Gästen verwendet werden. Der Standardbenutzer muss ein lokaler Benutzer sein. Domänenkonten werden nicht unterstützt.

Verfahren

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.
2. Wählen Sie Windows und dann Windows Desktop.
3. Wählen Sie Benutzerprofil.
4. Konfigurieren Sie die Profileinstellungen Allgemein.
5. Wählen Sie das Profil Einzelanwendungsmodus.
6. Konfigurieren Sie die Einstellungen für den Einzelanwendungsmodus für Anwendungsname und geben Sie den freundlichen Namen der Anwendung ein. Für Windows-Anwendungen ist der Anzeigename der Paketname oder die Paket-ID. Führen Sie einen PowerShell-Befehl aus, um den Anzeigenamen der auf dem Gerät installierten APP zu erhalten. Der Befehl „Get-AppxPackage” liefert als „Name“ den Friendly-Name der Applikation zurück.
7. Nachdem Sie ein Einzelanwendungsmodus-Profil konfiguriert haben, müssen Sie den Einzelanwendungsmodus auf dem Gerät einrichten.
   • Nachdem das Einzelanwendungsmodus-Profil auf dem Gerät eingegangen ist, starten Sie das Gerät neu.
   • Sobald das Gerät neu gestartet wurde, werden Sie aufgefordert, sich mit dem Standardbenutzerkonto beim Gerät anzumelden.

Nach der Anmeldung wird die Richtlinie gestartet und der Einzelanwendungsmodus kann verwendet werden. Wenn Sie sich vom Einzelanwendungsmodus abmelden müssen, drücken Sie 5-mal die Windows-Taste, um den Anmeldebildschirm zur Anmeldung bei einem anderen Benutzer zu starten.

VPN-Profil

Workspace ONE UEM unterstützt die Konfiguration von VPN-Geräteeinstellungen, damit Endbenutzer sicher remote auf das interne Netzwerk Ihres Unternehmens zugreifen können. Erfahren Sie, wie das VPN-Profil eine umfassende Steuerung der VPN-Einstellungen bietet, darunter spezielle Einstellungen zu VPN-Anbietern und Pro-App VPN-Zugriff.

Wichtiger Hinweis: Bevor Sie die VPN-Sperre aktivieren, müssen Sie sicherstellen, dass die VPN-Konfiguration für das VPN-Profil funktioniert. Wenn die VPN-Konfiguration nicht korrekt ist, kann das VPN-Profil möglicherweise nicht vom Gerät gelöscht werden, da es keine Internetverbindung gibt.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Benutzerprofil oder Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das VPN-Profil.

6. Konfigurieren Sie die Einstellungen für Verbindungsdaten.

   • Verbindungsname: Geben Sie den Namen der VPN-Verbindung ein.
   • Verbindungstyp: Wählen Sie den Typ der VPN-Verbindung aus:
   • Server: Geben Sie den VPN-Serverhostnamen oder die IP-Adresse ein.
   • Port: Geben Sie den Port ein, den der VPN-Server verwendet.
   • Erweiterte Verbindungseinstellungen: Aktivieren Sie diese Option, um die erweiterten Routingregeln für die VPN-Verbindung des Geräts zu konfigurieren.
   • Routingadressen: Wählen Sie Hinzufügen aus, um die IP-Adressen und Subnetzpräfix-Größe des VPN-Servers einzugeben. Bei Bedarf können Sie weitere Routing-Adressen hinzufügen.
   • DNS-Routingregeln: Wählen Sie „Hinzufügen“ aus, um den für die Verwendung des VPN geltenden Domänennamen einzugeben. Geben Sie die DNS Server und Web-Proxyserver ein, die für die einzelnen Domänen verwendet werden sollen.
   • Routingrichtlinie: Wählen Sie entweder Sämtlichen Verkehr durch VPN zwingen oder Direkten Zugriff auf externe Ressourcen zulassen.
     • Sämtlichen Verkehr durch VPN zwingen (Tunnelerzwingung): Bei dieser Verkehrsregel wird sämtlicher IP-Verkehr nur durch die VPN-Schnittstelle geleitet.
     • Direkten Zugriff auf externe Ressourcen zulassen (Tunnelteilung): Bei dieser Verkehrsfilterregel, wird nur der Verkehr durch die VPN-Schnittstelle geleitet (gemäß Festlegung durch den Netzwerkstapel), der auch für diese vorgesehen ist. Der Internetdatenverkehr kann weiterhin über andere Schnittstellen gesendet werden.
   • Proxy: Wählen Sie AutoErkennung aus, um die vom VPN verwendeten Proxyserver automatisch zu erkennen. Wählen Sie Manuell aus, um den Proxyserver zu konfigurieren.
   • Server: Geben Sie die IP-Adresse für den Proxyserver ein. Diese Option wird angezeigt, wenn Proxy auf Manuell festgelegt ist.
   • Proxyserver-URL: Geben Sie die URL für die Konfigurationseinstellungen des Proxyservers ein. Diese Option wird angezeigt, wenn Proxy auf Manuell festgelegt ist.
   • Proxy bei lokalem Netzwerk umgehen: Aktivieren Sie diese Option, um den Proxyserver zu umgehen, wenn das Gerät erkennt, dass dieser sich im lokalen Netzwerk befindet.
   • Protokoll: Wählen Sie das Authentifizierungsprotokoll für das VPN aus:
     • EAP – Lässt verschiedene Authentifizierungsmethoden zu.
     • Computerzertifikat – Erkennt ein Clientzertifikat im Zertifikatsspeicher des Geräts, das zur Authentifizierung verwendet werden soll.
   • EAP-Typ: Wählen Sie den Typ der EAP-Authentifizierung aus:
     • EAP-TLS – Smartcard- oder Clientzertifikatsauthentifizierung
     • EAP-MSCHAPv2 – Benutzername und Kennwort
     • EAP-TTLS
     • PEAP
     • Benutzerdefinierte Konfiguration – Lässt alle EAP-Konfigurationen zu. Diese Option wird nur angezeigt, wenn Protokoll auf EAP festgelegt ist.
   • Anmeldedatentyp: Wählen Sie Zertifikat verwenden, um ein Client-Zertifikat zu verwenden. Wählen Sie Smartcard verwenden aus, um eine Smartcard zur Authentifizierung zu verwenden. Diese Option wird nur angezeigt, wenn EAP-Typ auf EAP-TLS festgelegt ist.
   • Einfache Zertifikatsauswahl: Aktivieren Sie diese Option, um die Liste der Zertifikate zu vereinfachen, aus der der Anwender seine Auswahl trifft. Die Zertifikate werden nach dem zuletzt erstellten Zertifikat für jede Entität angezeigt. Diese Option wird nur angezeigt, wenn EAP-Typ auf EAP-TLS festgelegt ist.
   • Windows-Anmeldedaten verwenden: Aktivieren Sie diese Option, um dieselben Anmeldedaten wie die des Windows-Geräts zu verwenden. Diese Option wird nur angezeigt, wenn EAP-Typ auf EAP-MSCHAPv2 festgelegt ist.
   • Identitätsschutz: Geben Sie den Wert ein, der vor der Client-Authentifizierung der Serveridentität an die Server gesendet werden soll. Diese Option wird nur angezeigt, wenn EAP-Typ auf EAP-TTLS festgelegt ist.
   • Innere Authentifizierungsmethode: Wählen Sie die Authentifizierungsmethode für die innere Identitätsauthentifizierung aus. Diese Option wird nur angezeigt, wenn EAP-Typ auf EAP-TTLS festgelegt ist.
   • Schnelle Wiederverbindung: Aktivieren Sie diese Option, um die zeitliche Verzögerung zwischen einer Authentifizierungsanforderung durch einen Client und der Antwort vom Server zu verringern. Diese Option wird nur angezeigt, wenn EAP-Typ auf PEAP festgelegt ist.
   • Identitätsschutz aktivieren: Aktivieren Sie diese Option, um die Identität des Anwenders zu schützen, bis der Client beim Server authentifiziert wird.
   • Pro-App-VPN-Regeln: Wählen Sie Hinzufügen aus, um Verkehrsregeln für bestimmte Legacy- und Modern-Anwendungen hinzuzufügen.
   • Anwendungs-ID: Wählen Sie zuerst aus, ob es sich bei der Anwendung um eine Windows Store-Anwendung oder eine Desktop-Anwendung handelt. Geben Sie dann den Pfad für die Anwendungsdatei für Desktop-Anwendungen ein. Sie können auch den Paketfamiliennamen für Store-Anwendungen eingeben, um anzugeben, für welche App die Datenverkehrsregeln gelten.
     • Beispiel für Dateipfad: %ProgramFiles%/ Internet Explorer/iexplore.exe
     • Beispiel für Paketfamiliennamen: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4 Über die PFN-Suche können Sie nach dem PFN der Anwendung suchen, indem Sie das Symbol Suchen auswählen. Ein Anzeigefenster wird geöffnet, in dem Sie die Anwendung auswählen können, für die geltende Pro-App-VPN-Regeln konfiguriert werden sollen. Der PFN wird dann automatisch ausgefüllt.
   • VPN On-Demand: Aktivieren Sie diese Option, damit beim Starten der Anwendung automatisch eine VPN-Verbindung hergestellt wird.
   • Routingrichtlinie: Wählen Sie die Routingrichtlinie für die Anwendung aus.
     • Direkten Zugriff auf externe Ressourcen zulassen ermöglicht sowohl Datenverkehr über das VPN als auch über die lokale Netzwerkverbindung.
     • Sämtlichen Verkehr durch VPN zwingen erzwingt die Übermittlung des gesamten Datenverkehrs über das VPN.
   • DNS-Routingregeln: Aktivieren Sie diese Option, um DNS-Routingregeln für den Anwendungsdatenverkehr hinzuzufügen. Wählen Sie Hinzufügen aus, um Filtertypen und Filterwerte für die Routing-Regeln hinzuzufügen. Nur Datenverkehr von der festgelegten Anwendung, der diesen Regeln entspricht, kann über das VPN übermittelt werden.
     • IP-Adresse: Eine Liste von durch Kommata getrennten Werten, in der die Remote-IP-Adressbereiche, die zuzulassen sind, aufgeführt sind.
     • Ports: Eine Liste von durch Kommata getrennten Werten, in der die Remoteportbereiche, die zuzulassen sind, aufgeführt sind. Zum Beispiel: 100–120, 200, 300–320. Ports sind nur gültig, wenn als Protokoll „TCP“ oder „UDP“ festgelegt ist.
     • IP-Protokoll: Numerischer Wert von 0-255, der das zuzulassende IP-Protokoll darstellt. Zum Beispiel: TCP = 6 und UDP = 17.
   • Geräteweite VPN-Regeln: Wählen Sie Hinzufügen aus, um Verkehrsregeln für das gesamte Gerät hinzuzufügen. Wählen Sie Hinzufügen aus, um Filtertypen und Filterwerte für die Routing-Regeln hinzuzufügen. Nur Datenverkehr, der diesen Regeln entspricht, kann über das VPN übermittelt werden.
     • IP-Adresse: Eine Liste von durch Kommata getrennten Werten, in der die Remote-IP-Adressbereiche, die zuzulassen sind, aufgeführt sind.
     • Ports: Eine Liste von durch Kommata getrennten Werten, in der die Remoteportbereiche, die zuzulassen sind, aufgeführt sind. Zum Beispiel: 100–120, 200, 300–320. Ports sind nur gültig, wenn als Protokoll „TCP“ oder „UDP“ festgelegt ist.
     • IP-Protokoll: Numerischer Wert von 0-255, der das zuzulassende IP-Protokoll darstellt. Zum Beispiel: TCP = 6 und UDP = 17. Eine Liste der numerischen Werte aller Protokolle finden Sie unter https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml.
   • Anmeldedaten merken: Aktivieren Sie diese Option, damit die Anmeldedaten des Endanwenders gespeichert werden.
   • Immer an: Aktivieren Sie diese Option, um zu erzwingen, dass die VPN-Verbindung stets aktiviert ist.
   • VPN-Sperre: Aktivieren Sie diese Option, um zu erzwingen, dass das VPN stets aktiviert ist, niemals getrennt wird, etwaiger Netzwerkzugriff deaktiviert wird, wenn das VPN nicht verbunden ist, und verhindert wird, dass andere VPN-Profile eine Verbindung zum Gerät herstellen. Ein VPN-Profil mit aktivierter VPN-Sperre muss gelöscht werden, bevor Sie ein neues VPN-Profil per Push auf das Gerät übertragen. Diese Funktion wird nur angezeigt, wenn das Profil auf den Gerätekontext gesetzt ist.
   • Umgehung für lokalen Verkehr: Aktivieren Sie diese Option, um die VPN-Verbindung für den lokalen Intranet-Verkehr zu umgehen.
   • Erkennung vertrauenswürdiger Netzwerke: Geben Sie die Adressen vertrauenswürdiger Netzwerke, getrennt durch Kommata, ein. Es wird keine VPN-Verbindung hergestellt, wenn die Verbindung eines vertrauenswürdigen Netzwerks erkannt wird.
   • Domäne: Wählen Sie Neue Domäne hinzufügen, um Domänen hinzuzufügen, die über den VMware Tunnel Server aufgelöst werden. Hinzugefügte Domänen werden unabhängig von der App, von der der Datenverkehr ausgeht, über den VMware Tunnel Server aufgelöst. Beispielsweise wird vmware.com durch den VMware Tunnel Server aufgelöst, wenn Sie die Chrome- oder die nicht vertrauenswürdige Edge-Anwendung verwenden. Diese Option wird nur angezeigt, wenn Sie das VPN-Profil als Benutzerprofil erstellen.

7. Wählen Sie nach Abschluss des Vorgangs Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

VPN-Profile von Workspace ONE UEM unterstützen die Konfiguration von Pro-App-VPN-Einstellungen für Windows-Geräte. Erfahren Sie, wie Sie Ihr VPN-Profil so konfigurieren, dass die spezifischen Datenverkehrs- und Logikregeln verwendet werden, um den Pro-App VPN-Dienst zu aktivieren.

Pro-App-VPN für Windows mithilfe des VPN-Profils

VPN-Profile von Workspace ONE UEM unterstützen die Konfiguration von Pro-App-VPN-Einstellungen für Windows-Geräte. Erfahren Sie, wie Sie Ihr VPN-Profil so konfigurieren, dass die spezifischen Datenverkehrs- und Logikregeln verwendet werden, um den Pro-App VPN-Dienst zu aktivieren.

Pro-App-VPN ermöglicht Ihnen, VPN-Datenverkehrsregeln auf Grundlage bestimmter Anwendungen zu konfigurieren. Nach der Konfiguration kann automatisch eine VPN-Verbindung hergestellt werden, wenn eine bestimmte Anwendung gestartet und Anwendungsdatenverkehr über die VPN-Verbindung, aber kein Datenverkehr von anderen Anwendungen gesendet wird. Durch diese Flexibilität können Sie sicherstellen, dass Ihre Daten geschützt bleiben, während der Gerätezugriff auf das Internet allgemein aufrechterhalten wird.

Jede Regelgruppe im Abschnitt mit den Pro-App-VPN-Regeln nutzt den logischen Operator OR. Wenn demnach ein Datenverkehr einer der konfigurierten Richtlinien entspricht, wird dieser über die VPN-Verbindung zugelassen.

Bei den Anwendungen, für die Pro-App-VPN-Datenverkehrsregeln gelten, kann es sich um Legacy-Windows-Anwendungen handeln, wie etwa EXE-Dateien oder Moderne Anwendungen, die über den Microsoft Store heruntergeladen wurden. Durch die Zuordnung bestimmter Anwendungen zum Starten und Verwenden der VPN-Verbindung wird die VPN-Verbindung nur für den Datenverkehr dieser Anwendungen genutzt, jedoch nicht für den Datenverkehr aller Geräte. Diese Verfahrensweise ermöglicht Ihnen die sichere Verwaltung von Unternehmensdaten und reduziert gleichzeitig die über Ihre VPN-Verbindung übermittelte Bandbreite.

Um die VPN-Bandbreitenrestriktionen zu verringern, können Sie DNS-Routingregeln für die Pro-App-VPN-Verbindung festlegen. Diese Routingregeln beschränken den über die VPN-Verbindung gesendeten Datenverkehr nur auf den Datenverkehr, der den Regeln entspricht. Die Logikregeln basieren auf dem Operator AND. Wenn Sie eine IP-Adresse, einen Port und ein IP-Protokoll festlegen, muss der Datenverkehr allen diesen Filtern entsprechen, damit er über die VPN-Verbindung weitergeleitet wird.

Pro-App-VPN ermöglicht Ihnen eine umfassende Steuerung Ihrer VPN-Verbindungen pro App.

Webclip-Profil

Ein Web-Clip-Profil ermöglicht die Übertragung von URLs per Push auf Endbenutzergeräte, um mühelos auf wichtige Websites zuzugreifen.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Benutzerprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Web-Clips-Profil.

6. Konfigurieren Sie die Web-Clips-Einstellungen, insbesondere folgende:

   Einstellungen	Beschreibung
   Bezeichnung	Geben Sie eine Beschreibung für den Web-Clip ein.
   URL	Geben Sie die Ziel-URL für den Web-Clip ein.
   In App Catalog zeigen	Somit wird der Web-Clip in Ihrem App Catalog aufgelistet.

7. Wählen Sie nach Abschluss des Vorgangs Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

WLAN-Profil

Erstellen Sie ein WLAN-Profil mit Workspace ONE UEM, um Geräte mit verborgenen, verschlüsselten oder kennwortgeschützten Unternehmensnetzwerken zu verbinden. Erfahren Sie, welchen Nutzen WLAN-Profile für Endbenutzer haben, die Zugriff auf mehrere Netzwerke benötigen, oder für die Konfiguration von Geräten, um eine automatische Verbindung zum entsprechenden WLAN-Netzwerk herzustellen.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Profil WLAN und konfigurieren Sie die Einstellungen.

   Einstellungen	Beschreibungen
   Service Set Identifier	Geben Sie einen Bezeichner für den Namen (SSID) des gewünschten WLAN-Netzwerks ein. Die Netzwerk-SSID darf keine Leerzeichen enthalten.
   Verborgenes Netzwerk	Aktivieren Sie diese Option, wenn das Netzwerk eine ausgeblendete SSID verwendet.
   AutoVerknüpfung	Aktivieren Sie diese Option, um festzulegen, dass das Gerät automatisch mit dem Netzwerk verknüpft werden soll.
   Sicherheitstyp	Wählen Sie über das Dropdown-Menü den Sicherheitstyp (z. B. WPA2 Personal) für das WLAN-Netzwerk aus.
   Verschlüsselung	Wählen Sie über das Dropdown-Menü den verwendeten Verschlüsselungstyp aus. Diese Option wird abhängig vom Sicherheitstyp angezeigt.
   Kennwort	Geben Sie das Kennwort ein, das für den Beitritt zum WLAN-Netzwerk für Netzwerke mit statischen Kennwörtern erforderlich ist. Setzen Sie den Haken bei „Zeichen anzeigen“, um die Maskierung von Zeichen in dem Textfeld zu deaktivieren. Diese Option wird abhängig vom Sicherheitstyp angezeigt.
   Proxy	Aktivieren Sie diese Option, um die Proxy-Einstellungen für die WLAN-Verbindung zu konfigurieren.
   URL	Geben Sie die URL für den Proxy ein.
   Port	Geben Sie den Port für den Proxy ein.
   Protokolle	Wählen Sie den zu verwendenden Protokolltyp aus: Zertifikat: PEAP-MsChapv2 EAP-TTLS: Benutzerdefiniert Dieser Abschnitt wird angezeigt, wenn für den Sicherheitstyp „WPA Enterprise“ oder „WPA2 Enterprise“ festgelegt ist.
   Innere Identität	Wählen Sie die Art der Authentifizierung über EAP-TTLS aus: Benutzername/Kennwort Zertifikat Dieser Abschnitt wird angezeigt, wenn die Option Protokolle auf EAP-TTLS oder PEAP-MsChapv2 gesetzt ist.
   Kryptografiebindung verlangen	Aktivieren Sie diese Option, um die Kryptografiebindung bei beiden Authentifizierungsmethoden zu verlangen. Dieses Menüelement beschränkt MITM-Angriffe.
   Windows-Anmeldedaten verwenden	Aktivieren Sie diese Option, um die Windows-Anmeldedaten als Benutzername/Kennwort für die Authentifizierung zu verwenden. Diese Option wird angezeigt, wenn Benutzername/Kennwort auf Innere Identität festgelegt ist.
   Identitätszertifikat	Wählen Sie ein Identitätszertifikat aus, das Sie mithilfe der Anmeldedaten-Nutzlast konfigurieren können. Diese Option wird angezeigt, wenn Zertifikat auf Innere Identität festgelegt ist.
   Vertrauenswürdige Zertifikate	Wählen Sie Hinzufügen, um vertrauenswürdige Zertifikate zum WLAN-Profil hinzuzufügen. Dieser Abschnitt wird angezeigt, wenn Sicherheitstyp auf „WPA Enterprise“ oder „WPA2 Enterprise“ festgelegt ist.
   Ausnahmen zur Vertrauenswürdigkeit zulassen	Aktivieren Sie diese Option, damit Entscheidungen über die Vertrauenswürdigkeit vom Benutzer über ein Dialogfeld getroffen werden können.

6. Wählen Sie nach Abschluss des Vorgangs Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

Windows Hello-Profil

Windows Hello bietet eine sichere Alternative zur gefahrlosen Verwendung von Kennwörtern. Das Windows Hello-Profil konfiguriert Windows Hello for Business für Ihre Windows Desktop-Geräte, damit Endbenutzer auf Ihre Daten zugreifen können, ohne ein Kennwort senden zu müssen.

Der Schutz von Geräten und Konten mittels Benutzername und Kennwort erzeugt mögliche Sicherheitslücken. Benutzer können ein Kennwort vergessen oder es mit außenstehenden Personen teilen, wodurch Ihre Unternehmensdaten gefährdet werden. Mithilfe von Windows Hello wird der Benutzer auf Windows-Geräten sicher bei Anwendungen, Websites und Netzwerken im Auftrag des Benutzers authentifiziert, ohne dass ein Kennwort gesendet werden muss. Der Benutzer muss sich keine Passwörter merken und Ihre Sicherheit wird seltener durch MITM-Angriffe gefährdet.

Windows Hello fordert die Benutzer auf, den Besitz eines Windows-Geräts zu verifizieren, bevor es mit einer PIN oder dem biometrischen Verifizierungssystem Windows Hello authentifiziert wird. Nach der Authentifizierung über Windows Hello erhält das Gerät sofortigen Zugriff auf Websites, Anwendungen und Netzwerke.

Wichtiger Hinweis: Windows Hello for Business erfordert eine funktionierende Azure AD-Integration.

Erstellen Sie ein Windows Hello-Profil zur Konfiguration von Windows Hello for Business für Ihre Windows Desktop-Geräte, damit Endbenutzer auf Ihre Anwendungen, Websites und Netzwerke zugreifen können, ohne ein Kennwort eingeben zu müssen.

Erstellen eines Windows Hello-Profils

Erstellen Sie ein Windows Hello-Profil zur Konfiguration von Windows Hello for Business für Ihre Windows Desktop-Geräte, damit Endbenutzer auf Ihre Anwendungen, Websites und Netzwerke zugreifen können, ohne ein Kennwort eingeben zu müssen.

Wichtiger Hinweis: Windows Hello-Profile werden nur auf Geräte angewendet, die über die Azure AD-Integration registriert wurden.

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Profil Windows Hello und konfigurieren Sie folgende Einstellungen:

   Einstellungen	Beschreibungen
   Biometrische Bewegung	Aktivieren Sie diese Option, um Endbenutzern die Verwendung der biometrischen Lesegeräte des Geräts zu ermöglichen.
   TPM	Setzen Sie diese Option auf „Erforderlich“, um die Verwendung von Passport ohne ein auf dem Gerät installiertes Trusted Protection Module zu verhindern.
   Minimale PIN-Länge	Geben Sie die minimale Anzahl an Stellen ein, die ein PIN enthalten muss.
   Maximale PIN-Länge	Geben Sie die maximale Anzahl an Stellen ein, die ein PIN enthalten muss.
   Stellen	Legen Sie die Berechtigungsstufe für die Verwendung von Ziffern in der PIN fest.
   Großbuchstaben	Legen Sie die Berechtigungsstufe für die Verwendung von Großbuchstaben in der PIN fest.
   Kleinbuchstaben	Legen Sie die Berechtigungsstufe für die Verwendung von Kleinbuchstaben in der PIN fest.
   Sonderzeichen	Setzen Sie die Berechtigungsebene für die Verwendung von Sonderzeichen in der PIN. ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ { | } ~

6. Wählen Sie Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

Windows-Lizenzierungsprofil

Konfigurieren Sie ein Windows-Lizenzierungsprofil, um einen Windows Enterprise- oder Windows Education-Lizenzschlüssel für Ihre Windows-Geräte bereitzustellen. Verwenden Sie dieses Profil, um Geräte zu aktualisieren, die nicht mit Windows Enterprise ausgestattet sind.

Wichtiger Hinweis:

Dieses Upgrade kann nicht rückgängig gemacht werden. Wenn Sie dieses Profil auf BYOD-Geräten veröffentlichen, können Sie die Lizenzierung nicht über MDM entfernen. Windows kann nur über einen bestimmten Upgrade-Pfad aktualisiert werden:

• Windows Enterprise auf Windows Education
• Windows Home auf Windows Education
• Windows Pro auf Windows Education
• Windows Pro auf Windows Enterprise

Verfahren

1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows und dann Windows Desktop.

3. Wählen Sie Geräteprofil.

4. Konfigurieren Sie die Profileinstellungen Allgemein.

5. Wählen Sie das Profil Windows-Lizenzierung und konfigurieren Sie folgende Einstellungen:

   Einstellungen	Beschreibungen
   Windows-Version	Wählen Sie entweder die Version Enterprise oder Education.
   Gültigen Lizenzschlüssel eingeben	Geben Sie den Lizenzschlüssel für die von Ihnen verwendete Windows-Version ein.

6. Wählen Sie Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.

Windows Update-Profil

Erstellen Sie ein Windows-Updates-Profil, um die Windows-Update-Einstellungen für Windows-Desktop-Geräte mit Windows 10, 2004 und höher zu verwalten. Dieses Profil weist mehr Verbesserungen und zusätzliche Funktionen auf als das Profil „Windows-Update (veraltet)“. Durch die Verwendung der aktualisierten Version wird sichergestellt, dass alle Ihre Geräte auf dem neuesten Stand sind und die Vorteile der neuen Funktionen nutzen können, die der Konsole hinzugefügt wurden, sowie die Geräte- und Netzwerksicherheit verbessern.

Um ein Windows-Updates-Profil zu erstellen oder zu konfigurieren, verwenden Sie den Windows-Gerätemanager.

1. Navigieren Sie zu Geräte > Profile & Ressourcen > Profile > Hinzufügen > und wählen Sie Profil hinzufügen.
   

2. Wählen Sie Windows > Windows-Desktop > Geräteprofil.

3. Wählen Sie im Geräteprofil die Option Windows-Updates und klicken Sie dann auf die Schaltfläche, um es zu konfigurieren.

4. Nach der Konfiguration können Sie die Einstellungen nach Bedarf anpassen. Diese Tabelle enthält weitere Informationen darüber, was die einzelnen Einstellungen tun sollen.

   Einstellung	Beschreibung
   Definition
   Windows-Update-Quelle	Wählen Sie die Quelle für Windows-Updates aus. Microsoft-Update-Dienst – Wählen Sie dies, um den Standard-Microsoft-Update-Server zu verwenden. Unternehmens-WSUS: Wählen Sie diese Option aus, um einen Unternehmensserver zu verwenden, und geben Sie die WSUS-Server-URL und WSUS-Gruppe ein. Das Gerät muss mindestens einmal eine Verbindung zu WSUS herstellen, damit diese Einstellung wirksam wird. Wenn Sie „Unternehmens-WSUS“ als Quelle festlegen, kann Ihr IT-Administrator installierte Updates und den Gerätestatus der Geräte in der WSUS-Gruppe sehen. HINWEIS: Die Quelle kann nicht mehr geändert werden, nachdem sie festgelegt wurde.
   Update Branch	Wählen Sie das Update Branch aus, das für Updates befolgt werden soll. Windows-Insider - Dev-Channel – In diesem Kanal werden ungefähr einmal pro Woche Insider-Preview-Builds veröffentlicht, die die neuesten Funktionen enthalten. Dies macht sie ideal für die Erkundung von Features.) Windows-Insider-Beta-Kanal – In diesem Kanal werden ungefähr einmal pro Monat Insider-Preview-Builds veröffentlicht, die stabiler sind als Fast-Ring-Versionen, sodass sie besser für Validierungszwecke geeignet sind. Windows-Insider - Release-Preview-Channel – Die Insider-Preview-Builds in diesem Kanal sind die fast abgeschlossenen GA-Versionen zur Validierung der kommenden GA-Version. Allgemeiner Verfügbarkeitskanal (gezielt) – Es gibt keine Insider-Vorschau, und die Funktionsupdates werden jährlich veröffentlicht.
   Vorschau-Builds verwalten	Wählen Sie den Zugriff auf die Vorschau von Builds aus. Wenn Sie ein Gerät in der Insider-Vorschau ausführen möchten, stellen Sie sicher, dass diese Option auf „Vorschau-Builds aktivieren“ festgelegt ist: Vorschau-Builds deaktivieren Vorschau-Builds deaktivieren, sobald die nächste Version veröffentlicht ist Vorschau-Builds aktivieren
   Geräteplanung
   Geräteplanung aktivieren	Wenn diese Option aktiviert ist, können Sie festlegen, wie die Geräte die Planung der Update-Installation und des automatischen (erzwungenen) Neustarts handhaben. Wenn diese Option aktiviert ist, sehen Sie weitere Optionen zum Konfigurieren des automatisch aktualisierten Verhaltens, zum Festlegen der aktiven Stunden und zum Konfigurieren der Anzahl der Tage, die den Benutzern bleiben werden, bevor die Updates automatisch auf ihre Geräte übertragen werden.
   Aktualisierungsverhalten
   Aktualisierungsverhalten aktivieren	Wenn diese Option aktiviert ist, können Sie festlegen, welche Arten von Updates angeboten werden und wann berechtigte Geräte diese erhalten. Wenn diese Option aktiviert ist, werden weitere Optionen angezeigt: „Dual Scan deaktivieren", „Microsoft-Anwendungsaktualisierungen zulassen", „Festlegen, wie lange ein Funktionsupdate aufgeschoben werden soll" und „Windows-Treiber ausschließen" und/oder „Safe Guard deaktivieren“.
   Geräteverhalten
   Geräteverhalten aktivieren	Wenn diese Option aktiviert ist, können Sie festlegen, wie Konfigurationen für das Update-Verhalten vom Gerät verarbeitet werden. Wenn diese Option aktiviert ist, werden weitere Optionen angezeigt, um die automatische Windows-Aktualisierung für den Download über getaktete Netzwerke zuzulassen, die Downloadgrenzwerte für Mobilfunkdaten für AP-Updates zu ignorieren und die Grenzwerte für den Download von Mobilfunkdaten für System-Updates zu ignorieren.
   Übermittlungsoptimierung
   Übermittlungsoptimierung aktivieren	Wenn diese Option aktiviert ist, können Sie festlegen, wie der Bandbreitenverbrauch reduziert werden soll. Wenn diese Option aktiviert ist, werden weitere Optionen zur Auswahl des Downloadmodus, der Cache-Hostquelle, der Gruppen-ID-Quelle, der HTTP-Quelle, der Cache-Serverquelle, des Netzwerks, der Geräteanforderungen und der Netzwerkbandbreitenbeschränkung angezeigt.
   BS-Version
   BS-Version	Wenn diese Option aktiviert ist, können Sie angeben, welche Zielversion und welche Version des Zielprodukts verschoben werden oder bis zum Ende des Diensts verbleiben soll.

5. Wenn Sie die Anpassung des Profils abgeschlossen haben, denken Sie daran, Speichern & Veröffentlichen auszuwählen, um das Profil auf Ihre Geräte zu schieben.

Fehlerbehebung bei Funktions- und Qualitätsupdates

Da Windows-Updates Probleme in Verbindung mit bestimmten Treibern oder Anwendungen verursachen können, wurden drei Schaltflächen hinzugefügt, mit denen sich solche Situationen besser lösen lassen. Mit der Schaltfläche Pause können Sie sowohl Funktions- als auch Qualitätsupdates anhalten, bevor sie ausgeführt werden (höchstens 35 Tage lang). Die Schaltfläche Rollback ermöglicht es, vorgenommene Aktualisierungen, die unvorhergesehene Probleme verursacht haben, vorübergehend rückgängig zu machen, während Sie das Problem beheben. Die Schaltfläche Fortsetzen aktiviert die Suche und Installation von Windows Updates erneut.

Windows-Update-Profil (Legacy)

Das Profil Windows-Updates (Legacy) ist für Windows-Desktop-Geräte mit Windows 10, 1909 oder früher vorgesehen. Sie sollten das neue Windows-Update-Profil migrieren oder verwenden, um die neuen Funktionen und Verbesserungen nach 2004 nutzen zu können. Das Profil stellt sicher, dass all Ihre Geräte auf dem neuesten Stand sind, wodurch die Sicherheit der Geräte und Netzwerke erhöht wird.

Wichtiger Hinweis: Um die von einem Branch unterstützte Betriebssystemversion zu erfahren, sehen Sie in Microsofts Dokumentation der Windows-Veröffentlichungsinformationen nach: https://technet.microsoft.com/en-us/windows/release-info.aspx.

Um ein Windows-Updates-Legacy-Profil zu erstellen oder zu konfigurieren, verwenden Sie den Windows-Gerätemanager.

1. Navigieren Sie zu Geräte > Profile & Ressourcen > Profile > Hinzufügen > und wählen Sie Profil hinzufügen.

2. Wählen Sie Windows > Windows-Desktop > Geräteprofil.

3. In Geräteprofil sehen Sie ein Menü mit Elementen, die Sie anpassen können. Wählen Sie Windows-Updates (Legacy) und klicken Sie dann auf die Schaltfläche, um die Einstellungen zu konfigurieren.

Hinweis: Möglicherweise erhalten Sie eine Warnung, die Sie darüber informiert, dass vorhandene Profile auf die neue Version migriert werden können. Sie können die Schaltfläche Migrieren verwenden, um Ihre Einstellungen auf das neue Profil Windows-Updates zu migrieren, wenn Sie dies möchten. Beachten Sie, dass bei der Migration der Profile einige der Einstellungen erweitert und aktualisiert wurden, sodass einige der älteren Optionen nicht mehr gültig sind. Diese Änderungen werden von den vorherigen Versionen nicht mitmigriert.

1. Nach der Konfiguration können Sie die Einstellungen für ein Legacy-Profil anpassen (auch dies gilt für Windows 10, 2004 oder früher). Diese Tabelle enthält weitere Informationen darüber, was die einzelnen Einstellungen tun sollen.

   Einstellungen	Beschreibungen
   Verzweigung und Aufschub
   Windows-Update-Quelle	Wählen Sie die Quelle für Windows-Updates aus. Microsoft-Update-Dienst – Wählen Sie dies, um den Standard-Microsoft-Update-Server zu verwenden. Unternehmens-WSUS: Wählen Sie diese Option aus, um einen Unternehmensserver zu verwenden, und geben Sie die WSUS-Server-URL und WSUS-Gruppe ein. Das Gerät muss mindestens einmal eine Verbindung zu WSUS herstellen, damit diese Einstellung wirksam wird. Wenn Sie „Unternehmens-WSUS“ als Quelle festlegen, kann Ihr IT-Administrator installierte Updates und den Gerätestatus der Geräte in der WSUS-Gruppe sehen.
   Update Branch	Wählen Sie das Update Branch aus, das für Updates befolgt werden soll. Halbjahreskanal Windows-Insider-Branch – Schnell (weniger stabil, Dev-Build) Windows-Insider Branch – Langsam (stabiler, Dev-Build) Insider – Release (stabiler, öffentlicher Build)
   Insider Builds	Lassen Sie den Download von Windows Insider-Builds zu. NICHT zulässig – Dies wurde zu Windows 10 Version 1709 hinzugefügt und gibt an, ob der Zugriff auf Windows-10-Insider-Preview-Builds zulässig ist.
   Zeitraum zum Zurückstellen von Funktionsupdates in Tagen	Wählen Sie die Anzahl von Tagen, die Funktionsupdates verzögert werden sollen, bevor sie auf dem Gerät installiert werden. Die maximale Zahl an Tagen, die Sie ein Update verzögern können, wurde mit der Windowsversion 1703 geändert. Bei Geräten mit einer Version vor 1703 ist nur ein Aufschub von 180 Tagen möglich. Bei Geräten mit einer Version nach 1703 ist ein Aufschub von bis zu 365 Tagen möglich. Verzögern Sie ein Update um mehr als 180 Tage und rollen das Profil vor dem 1703-Update auf ein Windows-Gerät aus, kann das Profil auf dem Gerät nicht installiert werden.
   Funktionsupdates aussetzen	Aktivieren Sie diese Option, um alle Funktionsupdates 60 Tage lang oder bis zur Deaktivierung der Option auszusetzen. Diese Einstellung überschreibt die Einstellung Zeitraum zum Zurückstellen von Funktionsupdates in Tagen. Verwenden Sie diese Option, um ein problematisches Update zu verzögern, das normalerweise entsprechend den Zurückstellungseinstellungen installiert werden kann.
   Qualitätsupdate-Verzögerungszeitraum in Tagen	Wählen Sie die Anzahl von Tagen, die Qualitätsupdates verzögert werden sollen, bevor sie auf dem Gerät installiert werden.
   Qualitätsupdates aussetzen	Aktivieren Sie diese Option, um alle Qualitätsupdates 60 Tage lang oder bis zur Deaktivierung der Option auszusetzen. Diese Einstellung überschreibt die Einstellung Zeitraum zum Zurückstellen von Qualitätsupdates in Tagen. Verwenden Sie diese Option, um ein problematisches Update zu verzögern, das normalerweise entsprechend den Zurückstellungseinstellungen installiert werden kann.
   Einstellungen für vorherige Windows-Versionen aktivieren	Wählen Sie diese Option, um Verzögerungseinstellungen für vorherige Versionen von Windows zu aktivieren. Diese Einstellung aktiviert die Aufschubfunktionen für ältere Versionen von Windows 10 wie 1511 und darunter. Sie wurden im 1607-Anniversary-Update in die aktuellen Einstellungen geändert.
   Update-Installationsverhalten
   Automatische Updates	Legen Sie fest, wie Updates vom ausgewählten Update Branch behandelt werden sollen: Updates automatisch installieren (empfohlen). Updates automatisch installieren, aber den Benutzer den Computerneustart planen lassen. Updates automatisch installieren und zu einem bestimmten Zeitpunkt neu starten Updates automatisch installieren und Benutzer an Änderungen der Bedienfeldeinstellungen hindern Nach Updates suchen, aber den Benutzer entscheiden lassen, ob sie heruntergeladen und installiert werden sollen Nie nach Updates suchen (nicht empfohlen).
   Maximale aktive Stunden (Stunden)	Geben Sie die maximale Anzahl aktiver Stunden ein, während derer verhindert wird, dass das System für ein Update neu gestartet wird.
   Startzeit für aktive Stunden	Geben Sie die Startzeit für aktive Stunden ein. Legen Sie die aktiven Stunden fest, um zu verhindern, dass das System während dieses Zeitraums neugestartet wird.
   Endzeit für aktive Stunden	Zeigt die Endzeit für aktive Stunden an. Diese Zeit wird durch die Startzeit der aktiven Stunden und Maximal aktive Stunden festgelegt.
   Fristen für den automatischen Neustart für Qualitäts-Updates	Legen Sie die maximale Anzahl von Tagen fest, die nach der Installation eines Qualitäts- oder Funktionsupdates vergehen kann, bevor ein Systemneustart obligatorisch ist.
   Fristen für den automatischen Neustart von Funktionsupdates	Setzen Sie die Maximalzahl an Tagen, die nach der Installation eines Funktionsupdates vergehen können, bevor ein Systemneustart verpflichtend wird.
   Benachrichtigung zum automatischen Neustart (Minuten)	Wählen Sie die Anzahl der Minuten aus, die vor einem automatischen Neustart eine Warnung angezeigt werden soll.
   Erforderliche Benachrichtigung automatisch neu starten	Legen Sie fest, wie eine Benachrichtigung über einen automatischen Neustart geschlossen werden muss. Automatisch ablehnen - Automatisch abgelehnt Ablehnung durch Benutzer - Erfordert, dass der Benutzer die Benachrichtigung schließt.
   Frist für den Neustart für Qualitätsaktualisierungen	Durch erzwungene Neustarts wird eine Verwaltung ermöglicht, wenn das Gerät nach der Installation eines Qualitäts- oder Funktionsupdates während der aktiven Stunden neu gestartet wird. Verwenden Sie diese Option, um die Anzahl der Tage festzulegen, die ein Benutzer einen Neustart durchführen kann, bevor ein Neustart automatisch außerhalb der aktiven Stunden geplant wird.
   Frist für den Neustart bei Aktivität für Funktionsupdates	Neustart bei Aktivität erlaubt die Einstellung, dass das Gerät nach der Installation eines Funktionsupdates auch während der aktiven Nutzungszeit neustartet. Verwenden Sie diese Option, um die Anzahl der Tage festzulegen, die ein Benutzer einen Neustart durchführen kann, bevor ein Neustart automatisch außerhalb der aktiven Stunden geplant wird.
   Verzögerungszeitplan für den Neustart für Qualitätsaktualisierungen bei Aktivität	Geben Sie an, wie viele Tage ein Benutzer einen erzwungenen Neustart verschieben kann. Nach Verstreichen des Zeitraums zum Verschieben wird eine Uhrzeit für den Neustart außerhalb der aktiven Stunden geplant.
   Verzögerungszeitplan für den Neustart für Funktionsupdates bei Aktivität	Geben Sie an, wie viele Tage ein Benutzer einen erzwungenen Neustart verschieben kann. Nach Verstreichen des Zeitraums zum Verschieben wird eine Uhrzeit für den Neustart außerhalb der aktiven Stunden geplant.
   Warnung für geplanten automatischen Neustart (Stunden)	Wählen Sie die Anzahl an Stunden, bevor ein geplanter automatischer Neustart den Benutzer warnt.
   Warnung für geplanten automatischen Neustart (Minuten)	Wählen Sie die Anzahl an Minuten, bevor ein geplanter automatischer Neustart den Benutzer warnt.
   Warnung vor dem bevorstehenden geplanten automatischen Neustart (in Minuten)	Wählen Sie die Anzahl an Minuten, bevor ein bevorstehender geplanter automatischer Neustart den Benutzer warnt.
   Aktualisierungsrichtlinien
   Öffentliche Updates zulassen	Updates vom öffentlichen Windows Update Service zulassen. Diesen Service nicht zuzulassen kann zu Problemen mit dem Microsoft Store führen.
   Microsoft-Updates zulassen	Updates von Microsoft Update zulassen
   Update-Scan-Häufigkeit in (Stunden)	Legen Sie fest, mit welchem Abstand (in Stunden) nach Updates gesucht werden soll.
   Dual-Scan	Aktivieren Sie diese Option, um Windows Update als primäre Updatequelle zu verwenden, wenn Sie Windows Server Update Services verwenden, um alle anderen Inhalte bereitzustellen.
   Ausschließen von Windows Update-Treibern von Qualitäts-Updates	Aktivieren Sie diese Option, um auf Geräten die automatische Installation von Treiberupdates während Qualitätsupdates zu verhindern.
   Signierte Updates von Drittanbieterentitäten installieren	Lassen Sie die Installation von Updates von zugelassenen Drittanbietern zu.
   App-Downloadbeschränkung des Mobilfunkbetreibers	Wählen Sie aus, ob Beschränkungen des Mobilfunkbetreibers für den Download von Apps und deren Updates ignoriert werden sollen.
   Update-Downloadbeschränkung des Mobilfunkbetreibers	Wählen Sie aus, ob Beschränkungen des Mobilfunkbetreibers für den Download der Updates von Betriebssystemen ignoriert werden sollen.
   Vom Administrator genehmigte Updates
   Genehmigung für Update erforderlich	Aktivieren Sie diese Option, um festzulegen, dass für Updates vor dem Download auf dem Gerät eine Genehmigung eingeholt werden muss. Aktivieren Sie diese Option, um festzulegen, dass Administratoren Updates vor dem Download auf das Gerät explizit genehmigen müssen. Diese Genehmigung erfolgt entweder über die Genehmigung von Update-Gruppen oder einzelner Updates. Für diese Option müssen Sie im Auftrag Ihrer Endbenutzer die erforderlichen Nutzungsbedingungen akzeptieren, bevor das Update per Push auf die Geräte übertragen wird. Wenn eine EULA akzeptiert werden muss, wird ein Dialogfeld geöffnet, das die jeweilige EULA anzeigt. Zum Genehmigen von Updates navigieren Sie zu Lebenszyklus > Windows Updates.
   Übermittlungsoptimierung
   Peer-zu-Peer-Updates	Lassen Sie die Verwendung von Peer-zu-Peer-Downloads von Updates zu.

2. Wenn Sie die Anpassung des Profils abgeschlossen haben, denken Sie daran, Speichern & Veröffentlichen auszuwählen, um das Profil auf Ihre Geräte zu schieben.

Geräteupdates für Windows Desktop

Workspace ONE UEM unterstützt das Prüfen und Genehmigen von Betriebssystem- und OEM-Updates für Windows-Geräte. Die Seite Geräte-Updates listet alle verfügbaren Updates für Windows-Geräte auf, die sich in der ausgewählten Organisationsgruppe befinden.

Verwaltete Anwendung auf Windows Desktop-Profil

Ein Administrator kann das Entfernen von verwalteten Anwendungen auf Geräten verwalten. Unter Neues Windows Desktop-Profil hinzufügen > Verwaltete Anwendungen hat der Administrator die Möglichkeit, die Option „Verwaltete Anwendungen auf dem Gerät behalten, wenn die Registrierung aufgehoben ist“, entweder aktivieren oder deaktivieren.

Navigation

Suchen Sie die verfügbaren Geräteupdates in Ressourcen > Geräteupdates. Auf dieser Seite werden die auf Windows und OEM-Updateinformationen .

Registerkarte „Windows“

Auf der Registerkarte Windows können Sie Updates bestätigen und diese, je nach Ihren geschäftlichen Bedürfnissen, bestimmten Smartgroups zuteilen Auf diesem Tab werden alle Updates mit Datum der Veröffentlichung, Plattform, Klassifikation und zugewiesener Gruppe angezeigt. Es werden nur die Updates angezeigt, die für die Windows-Geräte in der aktuellen Organisationsgruppe verfügbar sind. Wenn keine Windows-Geräte in der Organisationsgruppe registriert sind, werden keine Updates angezeigt.

Wählen Sie den Update-Namen aus, wird ein Fenster mit detaillierten Informationen, einem Link zur Microsoft KB-Seite für das Update und dem Status der Update-Installation angezeigt.

Für diesen Vorgang ist es erforderlich, dass Sie ein Windows Update-Profile auf Geräten veröffentlichen, aktiviert zu müssen.

Der Update-Installationsstatus zeigt die Bereitstellung des Updates auf Ihren Geräten. Sehen Sie sich den Status der Aktualisierungsbereitstellung an, indem Sie das Update in der Liste auswählen oder Anzeigen in der Spalte „Installationsstatus“ auswählen.

Status	Beschreibungen
Zugewiesen	Das Update wurde genehmigt und wurde dem Gerät zugeordnet.
Genehmigt	Das genehmigte Update wurde dem Gerät erfolgreich zugewiesen.
Verfügbar	Das Update steht auf dem Gerät zur Installation bereit.
Installation steht aus	Die Installation wurde genehmigt und ist verfügbar, wurde aber noch nicht ausgeführt.
Neustart steht aus	Die Installation ist ausgesetzt, bis das Gerät neugestartet wird.
Installiert	Das Update wurde erfolgreich installiert.
Fehlgeschlagen	Die Installation des Updates ist fehlgeschlagen.

Registerkarte „OEM-Updates“

Auf dieser Registerkarte können Sie alle OEM-Updates einsehen, die für Ihre Windows Desktop-Geräte bereitgestellt wurden. Sie können die Listenansicht nach Name, Ebene, Typ und Gerätekategorie sortieren. Sie können auch die angezeigten Updates mit Filtern, einschließlich der Audio-Treiber, Chipsatz-Treiber, BIOS-Updates und mehr filtern.

Sehen Sie den Installationsstatus der Update-Bereitstellung durch Auswahl des Update-Namens ein.