Was sind die Voraussetzung für den Einsatz der Knox Service Plugin (KSP) App?


Das Samsung Knox Service Plugin ist eine App für Android Enterprise Geräte. Die Funktionalität der App basiert auf der Samsung Knox Logik, welche für Android Geräte von Samsung einen erweiterten Schutz und erweitertet Einstellungen ermöglicht. Das KSP läuft als Systemdienst im Hintergrund und bietet in der Standardkonfiguration keine Benutzeroberfläche auf dem mobilen Endgerät an. Unterstützt werden Samsung Geräte, die in einem Mobile Device Management (MDM) System im Modus „Verwaltetes Geräte“ oder „Arbeitsprofil“ verwaltet werden.

Wie Samsung Geräte in Relution eingeschrieben und verwaltet werden können, ist im Insight Samsung KME mit Android Enterprise beschrieben.

Für einen idealen Einsatz der KSP App empfiehlt Samsung Geräte mit Android 9.0 (Knox 3.2.1) und neuer. Im Zuge der Nutzung der KSP App muss den Knox Lizenzbedingungen zugestimmt werden.

Was sind die Vorteile des Knox Service Plugins (KSP)?


Mit Samsung Knox Service Plugin lassen sich spezielle Knox Einstellungen auf Samsung Geräte anwenden, die über die Standardfunktionen von Android hinausgehen.

Die Einstellungsmöglichkeiten und Konfigurationen werden von Samsung in vier Hauptkategorien zusammengefasst:

    1. Grundelemente
    2. Richtlinien für Android Enterprise Verwaltetes Gerät (Gerätebesitzer)
    3. Richtlinien für Android Enterprise Arbeitsprofil (Profilbesitzer)
    4. Allgemeine Konfigurationen


Samsung bietet für Knox kostenfreie und kostenpflichtige (Premium) Einstellungsoptionen an. Die angebotenen Möglichkeiten sind sehr vielfältig. Über folgenden Link können Details zu den unterschiedlichen Ebenen der verfügbaren Konfigurationen nachvollzogen werden: docs.samsungknox.com/dev/knox-service-plugin

Nachfolgende Anwendungsfälle zeigen häufig verwendetet Funktionen:

    1. Geräteeinstellungen sperren
    2. Apps auf Blocklist setzen (Apps auf Gerät sperren)
    3. System-Updates verhindern
    4. Globalen Proxy setzen (bspw. um die Einhaltung von Jugendschutz sicherzustellen)
    5. Backup mit Google Cloud verhindern



Wie können die zusätzlichen KSP Einstellungen in Relution genutzt werden?


Die KSP App wird über eine Android Richtlinie und die Konfiguration „Apps verwalten“ aus dem Google Play Store ausgewählt und der Richtlinie hinzugefügt:


Damit die KSP App auf allen Geräten automatisch installiert wird, empfiehlt es sich die Installation über die Auswahl der entsprechenden Einstellung zu erzwingen.


Über die “Verwaltete Konfiguration” können anschließend verfügbare Einstellungen zentral administriert werden.


Alle Einstellungen der verwalteten Konfiguration werden in einem iFrame angezeigt. Die Angaben werden direkt in dem Android Enterprise Programm von Google gespeichert. Dabei ist zu beachten, dass für die verwalte Konfiguration der KSP App neben dem allgemeinen Namen, der immer angegeben werden muss, auch zusätzlich ein Profilname vergeben werden muss.


Zudem muss die Bearbeitung der Konfiguration immer mit der Schaltfläche „Speichern“ innerhalb des iFrame abgeschlossen werden, um die Angaben zu übernehmen.



Wie lassen sich Geräteeinstellungen sperren?


Um den Missbrauch von Samsung Geräten einzuschränken, empfiehlt es sich die Einstellungen zu sperren. Dadurch kann bspw. verhindert werden, dass versehentlich die Sprache auf dem Gerät umgestellt oder das WLAN deaktiviert wird. Durch das Sperren der Geräteeinstellungen werden automatisch alle verfügbaren Einstellungsoptionen auf dem Samsung Gerät unterbunden und auch womöglich nützliche Funktion stehen nicht mehr zur Verfügung. Eine selektive Sperrung der Einstellungsoptionen ist lediglich über eine kostenpflichtige Knox Premium Lizenz möglich.

Um die Geräteeinstellungen vollständig zu verhindern, müssen in der verwalteten Konfiguration der KSP App folgende Einstellungen durchgeführt werden:

    a. „Enable device policy controls“ aktivieren



    b. „Enable device restriction controls“ aktivieren



    c. „Allow user to modify settings“ deaktivieren




Wie können nicht gewünschte Apps auf den Geräten unterbunden werden?


Android Enterprise bietet standardmäßig die Möglichkeit, über den Google Play Store zur Verfügung stehende Apps, die ggf. auch auf Geräten vorinstalliert sind (bspw. Netflix), zu blockieren, damit sie auf dem Endgerät nicht genutzt werden können. Die Einstellungsmöglichkeiten bei Android Enterprise sind im Insight Android Enterprise Verwaltetes Gerät & Arbeitsprofil genauer beschrieben.

Für Systemanwendungen von Samsung, die nicht über den Google Play Store zur Verfügung stehen, aber auf Android Geräten vorinstalliert sind, kann diese Standardfunktionalität nicht eingesetzt werden. Hierfür bietet die KSP App in der verwalteten Konfiguration die Möglichkeit, nicht erlaubte Apps über eine Blocklist zu deaktiviert, damit diese auf dem Gerät nicht mehr nutzbar sind. Dies kann bspw. für die Telefon, Kontakt oder Galerie App genutzt werden. Folgende Einstellungen sind hierfür notwendig:

    a. „Enable device policy controls“ aktivieren



    b. „Enable application management control“ aktivieren



    c. Angabe des Package Namen für nicht gewünschte Apps unter „Disable Application without user interaction“


Package Namen mit Komma Separierung angeben, bspw.:

com.sec.android.app.myfiles.samsung.android.app.contacts, com.samsung.android.messaging,com.samsung.android.dialer, com.android.phone,com.android.server.telecom, com.samsung.android.app.contacts,com.sec.android.app.myfiles




Wie können System-Updates verhindert werden?


Regelmäßige Installationen von System-Updates tragen dazu bei, dass die maximale Sicherheit im Zusammenhang mit der Nutzung von mobilen Endgeräten gegeben ist. Dennoch kann ein System-Update auch zu Problemen führen, bspw. mit einsetzten Lösungen wie Apps. Aus diesem Grund ist es ratsam, System-Updates zentral zu prüfen und erst nach einer internen Freigabe auf den Endgeräten zu installieren. In diesem Zusammenhang bietet die KSP App über die verwaltetet Konfiguration die Möglichkeit, System-Updates zu verhindern. So kann ebenfalls unterbunden werden, dass Schüler:innen in Schulen während des Unterrichts manuell ein System-Update durchführen.

Folgende Einstellungen müssen vorgenommen werden:

    a. „Enable device policy controls“ aktivieren



    b. „Enable device restriction controls“ aktivieren



    c. „Firmware update (FOTA) policy“ deaktiviert




Wie lässt sich ein globaler Proxy aktivieren?


Ein globaler Proxy kann beispielsweise als Jugendschutzfilter insbesondere im Homeschooling verwendet werden, wenn Schüler:innen auch über das private WLAN auf Webinhalte zugreifen. Die Einrichtung kann auf zwei Arten durchgeführt werden:

1. Manuelle Proxy Konfiguration


    a. „Enable device policy controls“ aktivieren



    b. “Enable firewall controls” aktivieren und Einstellung „Use manual proxy configuration“ wählen



    c. “Manual Proxy configuration” Einstellungen vornehmen (deutlich weiter unten)




2. Proxy Auto-config (PAC)


    a. „Enable device policy controls“ aktivieren



    b. “Enable firewall controls” aktivieren und Einstellung „Use proxy auto-config (PAC)“ wählen



    c. “PAC (Proxy auto config) URL“ Einstellungen vornehmen (deutlich weiter unten)




Wie kann man das Backup in die Google Cloud verhindern?


Zur Einhaltung der DSGVO ist es wichtig, dass personenbezogene Daten nur auf den jeweils zulässigen und dafür freigegeben Systemen verarbeitet werden. Häufig schreiben Datenschutzbeauftragte deshalb vor, eine Datenspeicherung in der Google Cloud zu verhindern. Hierunter fallen auch Backups der mobilen Endgeräte. Über folgende Einstellung innerhalb der verwalteten Konfiguration der KSP App lässt sich ein Backup von Daten auf den Google Server unterbinden:



Mobile Device & App Management mit Relution

Kostenlos und zeitlich unbegrenzt für bis zu 5 Geräte & 5 Apps. Keine Zahlungsinformationen notwendig.