App-Killer stoppen: So schützen Sie MTD-Apps mit rollenbasierten AMAPI-Berechtigungen

Eine beständige und frustrierende Herausforderung in der Enterprise-Mobilität besteht darin, sicherzustellen, dass geschäftskritische Sicherheitsanwendungen aktiv bleiben. Sie stellen eine hochmoderne Mobile Threat Defense (MTD)-Lösung für Ihre Unternehmensflotte bereit, nur um festzustellen, dass Geräte aus der Compliance fallen. Der Schuldige? Aggressive Akku-Optimierungsprotokolle der OEMs - oft als „App-Killer“ bezeichnet - oder versierte Endbenutzer, die die Anwendung manuell stoppen, um den Akku zu schonen oder die Überwachung zu umgehen.

Um ein Zero-Trust-Sicherheitsmodell aufrechtzuerhalten, müssen Ihre MTD-Apps lautlos und kontinuierlich im Hintergrund laufen, rund um die Uhr. Wenn die Android-Hintergrundbeschränkungen diese Apps beenden, wird Ihr Unternehmensnetzwerk anfällig für Phishing, bösartige Payloads und Man-in-the-Middle-Angriffe. Historisch gesehen erforderte die Lösung dieses Problems komplexe, benutzerdefinierte JSON-Skripte und ständige Kämpfe mit herstellerspezifischen Akku-Einstellungen.

Erfahren Sie, wie Sie die neuesten rollenbasierten Privilegien der Android Management API (AMAPI) innerhalb von Nomid MDM nutzen können, um Ihre Mobile Threat Defense-Tools vollständig manipulationssicher zu machen. Als offizieller Android Enterprise Partner bietet Nomid MDM einen nahtlosen, UI-gesteuerten Ansatz zur Umgehung aggressiver OS-Beschränkungen und stellt sicher, dass Ihr Sicherheits-Stack in Implementierungen im Gesundheitswesen, im Einzelhandel, im Bildungswesen und in der Logistik unbesiegbar bleibt.

Verständnis des Problems der Android-App-Killer

Bevor Sie Android-App-Killer effektiv stoppen können, müssen Sie verstehen, wie das Android-Betriebssystem Ressourcen verwaltet. Um die Akkulaufzeit zu maximieren, setzt Android mehrere aggressive Energiesparfunktionen ein, vor allem den Doze-Modus und die App Standby Buckets. Während diese Funktionen für Endverbrauchergeräte hervorragend sind, richten sie bei Sicherheits-Tools für Unternehmen verheerende Schäden an.

Wenn ein Gerät nicht am Stromnetz angeschlossen ist und stillsteht, schränkt der Doze-Modus die CPU- und Netzwerkaktivität im Hintergrund ein. Darüber hinaus kategorisieren App Standby Buckets Apps basierend auf der Benutzerinteraktion. Da MTD-Apps so konzipiert sind, dass sie für den Benutzer unsichtbar bleiben, kategorisiert das Betriebssystem sie oft in die Buckets „Rare“ (Selten) oder „Restricted“ (Eingeschränkt), was ihre Fähigkeit, nach Bedrohungen zu scannen oder Berichte an die MDM-Konsole zu senden, erheblich einschränkt.

Erschwerend zu diesem Verhalten auf Betriebssystemebene kommt die Manipulation durch den Benutzer hinzu. Wenn ein Mitarbeiter bemerkt, dass eine App Akku verbraucht, kann er zu den Geräteeinstellungen navigieren und auf „Stoppen erzwingen“ tippen. Sobald das Beenden einer Anwendung erzwungen wurde, kann sie sich nicht selbst neu starten, bis der Benutzer sie erneut manuell startet. Damit der MTD-Schutz von Android Enterprise effektiv ist, müssen Sie sowohl die Akku-Optimierung auf Betriebssystemebene als auch die Möglichkeit des Benutzers, die App zu beenden, neutralisieren.

Die Nomid MDM-Lösung: AMAPI-rollenbasierte Privilegien

Die moderne Lösung für diese Herausforderung liegt in der Android Management API (AMAPI). Google hat rollenbasierte AMAPI-Privilegien eingeführt (speziell über DelegatedScope), um IT-Asset-Managern zu ermöglichen, bestimmten Anwendungen erhöhte Berechtigungen auf Systemebene zu gewähren, ohne dass diese Apps der Device Policy Controller (DPC) sein müssen.

Kombiniert mit präzisen MDM-Richtlinien zur Ausnahme von der Akku-Optimierung und strengen Einstellungen zur App-Sperrung stellt Nomid MDM sicher, dass Ihre zwangsinstallierten Android-Apps zu wahrhaft manipulationssicheren Sicherheits-Apps werden. Unabhängig davon, ob Sie robuste Scanner in einem Logistiklager oder Samsung Knox-fähige Tablets in einer klinischen Umgebung einsetzen, garantiert diese Konfiguration, dass Ihre MTD-Lösung Neustarts, Benutzereingriffe und aggressives Ressourcenmanagement des Betriebssystems übersteht.

Schritt-für-Schritt-Anleitung: MTD-Apps in Nomid MDM manipulationssicher machen

Befolgen Sie diese präzisen Schritte in Ihrer Nomid MDM-Konsole, um Ihre Mobile Threat Defense-Anwendung mithilfe von rollenbasierten AMAPI-Privilegien zu konfigurieren, bereitzustellen und zu schützen. Dieses Tutorial setzt voraus, dass Sie Ihr verwaltetes Google Play-Konto bereits mit Ihrem Nomid MDM-Mandanten verknüpft haben.

Schritt 1: Die MTD-Anwendung zwangsinstallieren

Um sicherzustellen, dass die MTD-App sofort nach der Zero-Touch-Registrierung auf dem Gerät vorhanden ist, müssen Sie sie als zwangsinstallierte Anwendung konfigurieren. Dies verhindert, dass der Benutzer sie deinstalliert.

1. Melden Sie sich bei Ihrer Nomid MDM-Administratorkonsole an.
2. Navigieren Sie im linken Navigationsmenü zu Apps > App-Katalog.
3. Klicken Sie auf App hinzufügen und suchen Sie im Managed Google Play Iframe nach Ihrer spezifischen MTD-Lösung (z. B. Lookout, Zimperium oder Microsoft Defender).
4. Genehmigen Sie die Anwendung und die erforderlichen Berechtigungen und klicken Sie dann auf Synchronisieren.
5. Navigieren Sie zu Richtlinien > Geräteprofile und wählen Sie das Profil aus, das Ihren Zielgeräten zugewiesen ist.
6. Suchen Sie unter der Registerkarte Anwendungen Ihre MTD-App und ändern Sie den Bereitstellungstyp auf Zwangsinstalliert (AMAPI-Entsprechung: installType: FORCE_INSTALLED).
7. Speichern Sie das Profil.

Erwartetes Ergebnis: Die MTD-Anwendung wird nun automatisch auf allen diesem Profil zugewiesenen Geräten heruntergeladen und installiert, ohne dass eine Benutzerinteraktion erforderlich ist, und die Schaltfläche „Deinstallieren“ wird auf dem Gerät deaktiviert.

Warnung: Zwangsinstallierte Anwendungen verbrauchen bei der Ersteinrichtung des Geräts Netzwerkdaten. Wenn Sie die Bereitstellung über Zero-Touch-Registrierung in Mobilfunknetzen in Logistik- oder Außendienstumgebungen durchführen, stellen Sie sicher, dass Ihre Datentarife diese anfängliche Datenlast berücksichtigen.

Schritt 2: MDM-Ausnahme von der Akku-Optimierung anwenden

Als Nächstes müssen Sie das Android-Betriebssystem anweisen, diese spezifische Anwendung zu ignorieren, wenn der Doze-Modus und die App Standby-Limits angewendet werden.

1. Bearbeiten Sie Ihr Zielprofil, während Sie sich noch im Bereich Geräteprofile von Nomid MDM befinden.
2. Navigieren Sie zur Registerkarte Erweiterte App-Konfigurationen.
3. Suchen Sie den Abschnitt Ausnahmen von der Akku-Optimierung.
4. Klicken Sie auf Ausnahme hinzufügen und wählen Sie Ihre MTD-Anwendung aus der Dropdown-Liste aus.
5. Schalten Sie die Einstellung auf Von Optimierung ausgenommen um. (Dies nutzt die AMAPI-Richtlinie batteryOptimization: EXEMPTED).
6. Speichern Sie Ihre Änderungen.

Erwartetes Ergebnis: Das Android-Betriebssystem wird die Hintergrundprozesse der MTD-App nicht mehr unterbrechen, wodurch ein kontinuierlicher Bedrohungsscan unabhängig vom Akkustand oder Standby-Zustand des Geräts gewährleistet ist.

Schritt 3: Rollenbasierte AMAPI-Privilegien zuweisen (Delegierte Scopes)

Dies ist der entscheidende Schritt, um Android-App-Killer zu stoppen. Durch das Delegieren des Sicherheitsadministrator-Bereichs geben Sie der MTD-App die Autorität, Ereignisse auf Systemebene zu überwachen, ohne vom Betriebssystem beendet zu werden.

1. Navigieren Sie in der Nomid MDM-Konsole zu Sicherheit > Delegierte Privilegien.
2. Klicken Sie auf Neue Delegation erstellen.
3. Wählen Sie Ihr Ziel-Geräteprofil aus.
4. Wählen Sie im Feld Zielanwendung Ihre MTD-App aus.
5. Aktivieren Sie in der Liste Delegierte Scopes das Kontrollkästchen für Sicherheitsadministrator (AMAPI-Entsprechung: DELEGATED_SCOPE_SECURITY_ADMIN).
6. Optional: Wenn Ihre MTD-App Phishing-Schutz über ein lokales VPN durchführt, aktivieren Sie auch das Kontrollkästchen für Netzwerkaktivitätsadministrator (AMAPI-Entsprechung: DELEGATED_SCOPE_NETWORK_ACTIVITY_LOGS).
7. Klicken Sie auf Delegation anwenden.

Erwartetes Ergebnis: Die MTD-Anwendung verfügt nun über erhöhte Privilegien auf Systemebene. Das Betriebssystem erkennt sie als kritische Sicherheitskomponente an, was die Wahrscheinlichkeit einer unerwarteten Beendigung durch OEM-spezifische Speicherverwaltungsprotokolle erheblich verringert.

Hinweis: Nicht alle MTD-Apps sind so konzipiert, dass sie alle delegierten AMAPI-Bereiche akzeptieren. Konsultieren Sie die Dokumentation Ihres spezifischen MTD-Anbieters, um sicherzustellen, dass Sie nur die Bereiche delegieren, für deren Nutzung die Anwendung programmiert ist.

Schritt 4: App-Info-Einstellungen sperren, um Benutzermanipulationen zu verhindern

Selbst mit Schutzmaßnahmen auf Betriebssystemebene könnte ein Benutzer versuchen, zu den Geräteeinstellungen zu navigieren und auf „Stoppen erzwingen“ zu klicken oder die App-Daten zu löschen. Sie müssen den Zugriff auf diese Einstellungen blockieren.

1. Navigieren Sie zu Richtlinien > Geräteprofile und öffnen Sie Ihr Zielprofil.
2. Gehen Sie zur Registerkarte Gerätebeschränkungen.
3. Scrollen Sie nach unten zum Abschnitt Anwendungsverwaltung.
4. Suchen Sie die Einstellung Benutzer das Ändern von App-Einstellungen erlauben und schalten Sie sie auf Deaktiviert (AMAPI-Entsprechung: modifyAppSettingsDisabled: true).
5. Um ganz sicherzugehen, suchen Sie Benutzer das Erzwingen des Stoppens von Apps erlauben und schalten Sie es auf Deaktiviert.
6. Klicken Sie auf Profil veröffentlichen, um diese Änderungen an Ihre Flotte zu übertragen.

Erwartetes Ergebnis: Wenn ein Benutzer zu Einstellungen > Apps > [MTD-App] navigiert, sind die Schaltflächen „Stoppen erzwingen“, „Deinstallieren“ und „Daten löschen“ ausgegraut und nicht anklickbar. Die App ist nun vollständig manipulationssicher.

Überprüfung des manipulationssicheren MTD-Schutzes

Nachdem Sie das aktualisierte Nomid MDM-Profil auf Ihre Geräte übertragen haben, müssen Sie überprüfen, ob die Konfiguration Android-App-Killer erfolgreich stoppt und Benutzermanipulationen verhindert. Nehmen Sie ein Testgerät, das das aktualisierte Profil erhalten hat, und führen Sie die folgenden Prüfungen durch:

• Der Test „Stoppen erzwingen“: Navigieren Sie zu Einstellungen > Apps > [Ihre MTD-App]. Überprüfen Sie, ob die Schaltflächen „Stoppen erzwingen“ und „Deinstallieren“ ausgegraut sind.
• Der Akku-Optimierungstest: Navigieren Sie zu Einstellungen > Akku > Akku-Optimierung (Menüpfade variieren je nach OEM). Suchen Sie nach Ihrer MTD-App. Dort sollte „Nicht optimiert“ stehen, und der Benutzer sollte diesen Status nicht ändern können.
• Der Neustart-Test: Starten Sie das Gerät neu. Öffnen Sie die MTD-App nicht manuell. Melden Sie sich bei der Webkonsole Ihres MTD-Anbieters an und überprüfen Sie, ob sich das Gerät innerhalb von 5 Minuten nach dem Hochfahren meldet und seinen Integritätsstatus übermittelt. Dies bestätigt, dass die App automatisch im Hintergrund startet.

Wenn das Gerät alle drei Tests besteht, funktionieren Ihre rollenbasierten AMAPI-Privilegien und MDM-Ausnahmen für die Akku-Optimierung einwandfrei.

Fehlerbehebung FAQ

Warum geht meine MTD-App auf Samsung-Geräten immer noch in den Ruhezustand?

Samsung-Geräte nutzen neben dem nativen Android Doze ein proprietäres Akku-Managementsystem. Während die Akku-Ausnahmerichtlinie von Nomid MDM die native Android-Seite abdeckt, müssen Sie möglicherweise unsere tiefe Samsung Knox-Integration nutzen. Navigieren Sie in der Nomid MDM-Konsole zum OEMConfig-Bereich Ihres Profils, fügen Sie das Knox Service Plugin (KSP) hinzu und setzen Sie den Paketnamen der MTD-App explizit auf die Whitelist in den Knox-Akku-Optimierungseinstellungen.

Der delegierte Scope „Sicherheitsadministrator“ lässt sich nicht anwenden. Was ist schiefgelaufen?

AMAPI lehnt einen delegierten Bereich ab, wenn die Zielanwendung nicht zwangsinstalliert ist oder wenn das Anwendungsmanifest die Unterstützung für diese spezifische Verwaltungsrolle nicht deklariert. Stellen Sie sicher, dass Schritt 1 (Zwangsinstallation) vollständig abgeschlossen und synchronisiert ist, bevor Sie Schritt 3 anwenden. Überprüfen Sie außerdem mit Ihrem MTD-Anbieter, ob seine aktuelle App-Version delegierte AMAPI-Bereiche unterstützt.

Können Benutzer dies umgehen, indem sie im abgesicherten Modus starten?

Wie aktualisiere ich die MTD-App, wenn ich App-Änderungen gesperrt habe?

Das Sperren der Beschränkung „App-Einstellungen ändern“ verhindert, dass der Benutzer App-Zustände ändert; es verhindert nicht, dass das MDM die App aktualisiert. Nomid MDM wird weiterhin im Hintergrund lautlos Updates für die MTD-Anwendung über Managed Google Play bereitstellen, wobei Ihre konfigurierten Wartungsfenster-Richtlinien eingehalten werden.

Das Gerät wird in Nomid MDM nach Anwendung dieser Einstellungen als „Nicht konform“ angezeigt. Warum?

Dies tritt normalerweise auf, wenn die MTD-App erfordert, dass der Benutzer sie einmal öffnet, um lokale Geräteberechtigungen (wie Standort oder Speicher) zu erteilen, bevor sie aktiviert werden kann. Um dies zu beheben, verwenden Sie die App-Berechtigungsrichtlinien von Nomid MDM, um der MTD-App automatisch alle erforderlichen Laufzeitberechtigungen lautlos zu erteilen. Setzen Sie die Berechtigungsrichtlinie für den spezifischen MTD-Paketnamen auf GRANT, sodass keine Benutzerinteraktion erforderlich ist.

Fazit

Das Stoppen von Android-App-Killern und das Sicherstellen des kontinuierlichen Betriebs Ihres Sicherheits-Stacks ist kein Ratespiel mit OEM-spezifischen Workarounds mehr. Durch die Nutzung von rollenbasierten AMAPI-Privilegien, Ausnahmen von der Akku-Optimierung und strengen Beschränkungen der Anwendungsverwaltung können Sie Standard-Mobilbereitstellungen in gehärtete Zero-Trust-Endpunkte verwandeln.

Nomid MDM abstrahiert die Komplexität des Android Management API JSON-Scripting und ermöglicht es IT-Asset-Managern, manipulationssichere MTD-Lösungen mit nur wenigen Klicks bereitzustellen. Ob Sie Patientendaten im Gesundheitswesen sichern oder Point-of-Sale-Systeme im Einzelhandel schützen, die Implementierung dieser Schritte garantiert, dass Ihre Mobile Threat Defense-Anwendungen fehlerfrei im Hintergrund ausgeführt werden.

Bereit für eine blitzschnelle Gerätebereitstellung und beispiellose Sicherheitskontrolle? Melden Sie sich noch heute in Ihrer Nomid MDM-Konsole an, um Ihre delegierten Privilegien zu konfigurieren, oder kontaktieren Sie unsere Android Enterprise Integrationsspezialisten, um das Sicherheitsmodell Ihrer Flotte zu optimieren.