Android SafetyNet

Sie können das Android SafetyNet-Features verwenden, um die Kompatibilität und Sicherheit von Android-Geräten zu bewerten, auf denen Secure Hub installiert ist.

Wenn diese Funktion aktiviert ist, prüft die SafetyNet Attestation API die Software- und Hardwareinformationen auf einem Gerät, um ein Profil dieses Geräts zu erstellen. Die API sucht dann in einer Liste von Gerätemodellen, die den Android-Kompatibilitätstest bestanden haben, nach demselben Profil. Die API verwendet diese Informationen außerdem, um zu ermitteln, ob Secure Hub von einer unbekannten Quelle geändert wurde.

Wenn die Android SafetyNet-Funktion aktiviert ist, sendet Secure Hub die SafetyNet Attestation API-Anfrage an die Google Play-Dienste und das Ergebnis wird an Endpoint Management zurückgemeldet. Endpoint Management aktualisiert dann die Geräteinformationen mit den Attestierungsergebnissen. Sie können automatisierte Aktionen festlegen, die die Ergebnisse verwenden, um Aktionen auf dem Gerät auszulösen.

Weitere Informationen zur Funktionsweise der SafetyNet Attestation API finden Sie unter SafetyNet Attestation API in der Google Android-Entwicklerdokumentation.

Schätzen der Anzahl der benötigten SafetyNet Attestation API-Anforderungen

SafetyNet Attestation API-Anforderungen werden gesendet:

  • Wenn ein Gerät bei Endpoint Management registriert wird.

  • Wenn eine Secure Hub-Onlineauthentifizierung stattfindet. Die Onlineauthentifizierung findet statt, wenn eine Serversitzung abläuft oder wenn ein Benutzer sich vom Server abmeldet und sich dann wieder anmeldet. Secure Hub fordert den Benutzer auf, Anmeldeinformationen zur Authentifizierung beim Server einzugeben.

  • Wenn ein Gerät neu gestartet wird.

  • Nach einem bestimmten Zeitintervall, das Sie konfigurieren, zwischen 24 und 1.000 Stunden.

Wenn Ihre Endpoint Management-Bereitstellung mehr als 10.000 Anforderungen pro Tag benötigt, Füllen Sie dieses Anfragequotenformular aus.

Abrufen des SafetyNet-API-Schlüssels

Um Android SafetyNet in Endpoint Management zu aktivieren, benötigen Sie den SafetyNet-API-Schlüssel.

  1. Melden Sie sich mit einem Google-Administratorkonto an der Google API-Konsole an.

  2. Gehe zur Seite “Library”.

  3. Suchen Sie nach “Android Device Verification API”. Abbildung der Google API-Seite

  4. Klicken Sie auf Android Device Verification API. Abbildung der Google API-Seite

  5. Wenn die API noch nicht aktiviert ist, klicken Sie auf Enable. Abbildung der Google API-Seite

  6. Klicken Sie auf Verwalten.

  7. Klicken Sie auf Create Credentials um einen API-Schlüssel zu generieren. Abbildung der Google API-Seite

  8. Wählen Sie Android Device Verification und klicken Sie auf What credentials to I need. Klicken Sie dann auf Done. Abbildung der Google API-Seite

  9. Klicken Sie auf der Seite Credentials auf das Kopierensymbol neben dem Schlüssel, um den Schlüssel zu kopieren. Abbildung der Google API-Seite

  10. Speichern Sie den Schlüssel, damit Sie ihn in der Endpoint Management-Konsole einfügen können, wenn Sie Android SafetyNet aktivieren.

Aktivieren von Android SafetyNet

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf der Seite Einstellungen auf Android SafetyNet. Abbildung der Einstellungsseite, Android SafetyNet hervorgehoben

  3. Konfigurieren Sie folgende Einstellungen:

    • API-Schlüssel. Fügen Sie den SafetyNet-API-Schlüssel ein, den Sie über die Google-API-Konsole erhalten haben.

    • Nachweiszeitplan in Stunden. Geben Sie das Intervall an, in dem die SafetyNet Attestation API Ihre Android-Geräte auswertet (in Stunden). Der Mindestwert ist 24 Stunden. Der maximale Wert ist 1000 Stunden. Der Standardwert ist 24 Stunden. Abbildung der Konfiguration von Android SafetyNet

  4. Klicken Sie auf Speichern.

Anzeigen der Android SafetyNet-Ergebnisse

Um die Ergebnisse der SafetyNet Attestation API für ein Gerät anzuzeigen:

  1. Klicken Sie in der Endpoint Management-Konsole auf Verwalten > Geräte.

  2. Wählen Sie Android-Geräte aus, um die Ergebnisse der SafetyNet Attestierungs-API anzuzeigen. Klicken Sie dann auf Mehr anzeigen.

  3. Wählen Sie auf der Seite Gerätedetails die Option Eigenschaften.

  4. Die Ergebnisse werden im Abschnitt Sicherheit angezeigt. Abbildung der Gerätedetailsseite, Android SafetyNet hervorgehoben

Die SafetyNet Attestation API gibt für jedes Gerät diese Statusmeldungen zurück:

  • SafetyNet CTS-Profilübereinstimmung: Ist dieser Wert Wahr, hat das Gerät ein Profil, das mit einem übereinstimmt, das Android Compatibility Test Suite (CTS) bestanden hat. Ist der Wert Falsch, hat das Gerät kein Profil, das mit einem Profile übereinstimmt, das Androind CTS bestanden hat.

  • SafetyNet-Basisintegrität: Ist dieser Wert Wahr, hat die SafetyNet Attestation API keinen Nachweis gefunden, dass Secure Hub auf dem Gerät von einer unbekannten Quelle verändert wurde. Ist dieser Wert Falsch, wurde Secure Hub auf dem Gerät von einer unbekannten Quelle verändert.

  • Letzter bekannter Status von SafetyNet: Dieser Wert zeigt den letzten bekannten SafetyNet-Status auf dem Gerät:

    • Erfolg: Die SafetyNet Attestation API hat keinen Nachweis gefunden, dass Secure Hub auf dem Gerät von einer unbekannten Quelle verändert wurde.

    • LOCK_BOOTLOADER: Der Benutzer sollte den Bootloader des Geräts sperren. Secure Hub auf dem Gerät wurde von einer unbekannten Quelle geändert.

    • RESTORE_TO_FACTORY_ROM: Der Benutzer sollte das Gerät in einem sauberen Factory-ROM wiederherstellen. Secure Hub auf dem Gerät wurde von einer unbekannten Quelle geändert.