"Kontotypen mit deaktivierter Verwaltung" als Android-Einschränkung - wie einsetzen?

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
DWTS
Beiträge: 9
Registriert: Mi 09.02.2022, 08:13

"Kontotypen mit deaktivierter Verwaltung" als Android-Einschränkung - wie einsetzen?

Beitrag von DWTS »

Hallo, 

Wir verwenden das MDM von Securepoint und ich habe da hin und wieder Fragen. Falls hier jemand etwas dazu weiß, würde ich mich sehr freuen! 

Es gibt in den Profileinstellungen für Android-Geräte folgende Option unter dem Reiter "Einschränkungen": 

- Kontotypen mit deaktivierter Verwaltung 

Meine Frage: Wie ist diese Option zu nutzen? Was kann man da eintragen, was ist der Effekt? (gerne mit Beispiel, falls möglich) 
Es geht bei uns um vollverwaltete (cope) Android-Smartphones. 

Vielen Dank schonmal! 

Grüße, 
Roland

jant
Securepoint
Beiträge: 10
Registriert: Mo 14.06.2021, 09:10

Beitrag von jant »

Moin,

mit der Option "Kontotypen mit deaktivierter Verwaltung" lassen sich für Android global die Einrichtung von Kontotypen wie Google Gmail oder Facebook oder andere Konten verbieten.
Dafür müssen das Feld zum Beispiel mit den folgenden Werten gefüllt werden:
Google: com.google
Twitter: com.twitter.android.auth.login
Facebook: com.facebook.auth.login

DWTS
Beiträge: 9
Registriert: Mi 09.02.2022, 08:13

Beitrag von DWTS »

Hallo jant, 

Das funktioniert und genau nach so etwas habe ich gesucht, vielen Dank, super! 
Bekommt man die Bezeichnung des Kontotyps irgendwo raus, oder muss man da rumprobieren? Ich wäre nicht drauf gekommen, dass das genau "com.google" heißen muss. Aber ich bräuchte diese Kürzel evtl. noch für ein paar andere, Samsung Konto zum Beispiel. 

Grüße, 
Roland

jant
Securepoint
Beiträge: 10
Registriert: Mo 14.06.2021, 09:10

Beitrag von jant »

Moin,

leider ist uns keine offizielle Dokumentation bekannt. Google nimmt in der Developer Beschreibung für den AccountManager den eigenen Dienst als Beispiel. Da könnten sie vielleicht ansetzen.

Mit freundlichen Grüßen

DWTS
Beiträge: 9
Registriert: Mi 09.02.2022, 08:13

Beitrag von DWTS »

Hallo jant, 

Ok, vielen Dank! Mal sehen, ob ich dazu etwas finde. Wenn man das über eine Whitelist regeln könnte, wäre es für uns am besten. Aber das ist wohl zumindest momentan nicht möglich, vermute ich. 

Leider kann man Apps anscheinend auch nicht daran hindern, sich trotzdem über den Browserlogin mit einem Google-Konto zu synchronisieren. Hier zum Beispiel habe ich die "ColorNote"-App, eine Notizbuch-App. Ich habe bei den Berechtigungen alles auf "verweigern" gesetzt, auch die Standardberechtigungsrichtlinie steht auf "verweigern". Trotzdem kann man in der App die Synchronisierung mit einem privaten Googlekonto machen, die App macht dazu einfach den Browser auf mit der Google-Login-Seite (accounts[DOT]google[DOT]com; und der Eintrag "com[DOT]google[DOT]accounts" in der Account-Blacklist hat keinen Effekt). 

Grüße, 
Roland

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

DWTS hat geschrieben: Hallo jant, 

Ok, vielen Dank! Mal sehen, ob ich dazu etwas finde. Wenn man das über eine Whitelist regeln könnte, wäre es für uns am besten. Aber das ist wohl zumindest momentan nicht möglich, vermute ich. 

Leider kann man Apps anscheinend auch nicht daran hindern, sich trotzdem über den Browserlogin mit einem Google-Konto zu synchronisieren. Hier zum Beispiel habe ich die "ColorNote"-App, eine Notizbuch-App. Ich habe bei den Berechtigungen alles auf "verweigern" gesetzt, auch die Standardberechtigungsrichtlinie steht auf "verweigern". Trotzdem kann man in der App die Synchronisierung mit einem privaten Googlekonto machen, die App macht dazu einfach den Browser auf mit der Google-Login-Seite (accounts[DOT]google[DOT]com; und der Eintrag "com[DOT]google[DOT]accounts" in der Account-Blacklist hat keinen Effekt). 

Grüße, 
Roland
Hallo Roland,
das ist leider korrekt.
Der Schalter verhindert nur eine "App-integrierte" Anmeldung an den Googlediensten.
Diese spezielle App leitet dies an den Browser weiter und nimmt dort den Login vor. Dies ist so leider nicht verhinderbar.
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

DWTS
Beiträge: 9
Registriert: Mi 09.02.2022, 08:13

Beitrag von DWTS »

Hallo David, 

Vielen Dank für die Info! Dann brauchen wir da nicht weiter rumprobieren. 

Grüße, 
Roland

Antworten