Android - Datomo

Sie können eigene Zertifikate und Zertifikate von Certificate Authorities (CA), welche dem Android-Gerät unbekannt sind einfach über eine Konfiguration zum Zertifikatsspeicher hinzufügen.

Erstellung der Konfiguration

1. Konfiguration hinzufügen

Gehen Sie im Hauptmenü über "Konfigurationen" und wählen durch das "Plus"-Symbol "Konfiguration hinzufügen":

2. Plattform & Konfigurationsart auswählen

Wählen Sie im nächsten Schritt Ihre Plattform (Android) und danach "Zertifikate" aus:

3. Option "Zertifikat installieren" auswählen

Wählen Sie anschließend "Zertifikat installieren":

4. Zertifikat hochladen und konfigurieren

Wählen Sie den Zertifikatstyp aus und geben einen Zertifikatsnamen ein, laden Sie dann das Zertifikat hoch.

5. Verfügbarkeit nach Plattformen

Im nächsten Schritt geben Sie den Konfigurationsnamen ein und wählen Sie ggf. die Plattformen aus, für welche die Konfiguration zur Verfügung stehen soll :

Zertifikatskonfiguration - Plattformen datomo MDM

6. Verfügbarkeit im Unternehmensstore

Wählen Sie die gewünschte Verfügbarkeit im Unternehmsstore aus:

Zertifikatskonfiguration - Verfügbarkeit konfigurieren datomo MDM

datomo MDM Änderung von Konfigurationen für Geräte

Konfiguration auf Geräte verteilen

Sie können die Konfiguration nach der Erstellung einzelnen Geräten oder Richtlinien zuweisen.

Zuweisung für einzelne Geräte

Weisen Sie die Konfiguration nach Auswahl eines Gerätes dem gewünschten Gerät zu:

datomo MDM Hauptmenü "Konfiguration Anwenden"

In der Protokoll-Ansicht können Sie den Verlauf der Installation verfolgen:

Zuweisung per Richtlinie

1. Richtlinie auswählen

Um die Konfiguration einer Richtlinie hinzuzufügen, wählen Sie im Hauptmenü "Richtlinien" und die entsprechende Richtlinien-Kategorie aus:

Wählen Sie die Richtlinie aus, welcher Sie die Konfiguration hinzufügen möchten.

2. Komponente der Richtlinie hinzufügen

Im Abschnitt "Richtlinienkomponenten" wählen Sie "Neue Komponente hinzufügen" aus und anschließend "Konfiguration hinzufügen":

Wählen Sie in der Liste die von Ihnen gewünschte Konfiguration aus:

datomo MDM Richtlinienkomponenten hinzufügen

Konfiguration wird nicht angezeigt / kann nicht ausgewählt werden

Bitte beachten Sie, dass nur Konfigurationen einer Richtlinie zugewiesen werden können, bei welchen "Automatische Installation" und "Automatische Aktualisierung" deaktiviert sind.

Sollte Ihre Konfiguration nicht in der Liste erscheinen, überprüfen Sie die Einstellung der Konfiguration:

datomo MDM Änderung von Konfigurationen für Geräte

Sollte eine der Optionen ausgewählt sein, können Sie die Einstellung durch Auswahl der entsprechenden Konfiguration und den Klick aus das 3-Punkte Menü "Mehr Aktionen" ändern:

Wählen Sie die zu ändernde Einstellung aus und klicken Sie auf "Weiter":

Ändern Sie die Einstellung entsprechend Ihren Anforderungen:

Nach dem deaktivieren der automatischen Installation und dem automatischen Upgrade erscheint die Konfiguration in der Liste der Konfigurationen, welche einer Richtlinie hinzugefügt werden können.

Google stellt mit dem November 2025 Patch für Android Geräte für die Versionen 13,14,15,16 Fehlerbehebungen bereit, welche kritische Sicherheitslücken schließen. Dabei werden zwei wichtige Schwachstellen behoben:

CVE	Kurzbeschreibung	Schweregrad
CVE‑2025‑48593	Remote‑Code‑Execution (RCE) über eine speziell gestaltete Anforderung	Kritisch (Android 13-16)
CVE‑2025‑48581	Elevation of Privileges (EoP) durch Manipulation der System‑API	Hoch (Android 16)

Alle noch von Google unterstützten und betroffenen Android-Versionen haben einen Patch welcher bereits über die offiziellen OTA‑Updates verfügbar ist.

Warum zeitnah updaten?

Eine Verzögerung der Aktualisierung erhöht die Angriffsfläche erheblich – besonders in Unternehmen mit hoher Compliance-Anforderung.

Best‑Practice‑Checkliste für MDM‑Admins

Hier eine Beispiel-Checklist für die Durchführung einer Aktualisierung der Geräte. Individuelle Anpassungen, welche die Situation und Begebenheiten Ihres Unternehmens reflektieren, können hiervon abweichen.

Schritt	Aktion	Detail & Warum
Geräteinventar & Status	Status der Android und Patch-Versionen über datomo MDM Überprüfen. Selektion von Geräten, welche ggf. keine Updates erhalten sollten	Ermittelt, welche Geräte noch nicht auf den aktuellen Patch  installiert haben und welche Geräte Update-Fähig sind (z.B. inkompatible Programmversionen, Compliance-Regeln etc.)
Rollback‑Plan & Backup	1. Für jedes Gerät sollte ein Backup bestehen 2. Der Rollback-Workflow sollte bekannt und getestet sein	Schnelle Wiederherstellung im Falle von unerwarteten Problemen (z. B. App‑Crash oder Instabilität).
Pilot‑Deploy	1. Aktualisierung einer Testgruppe, z.B. 5–10 % der Testgeräte. 2. Überprüfung der Gerätefunktion und des Gerätestatus (Gerätelog‑ und Crash‑Reports analysieren, ggf. MDM‑Logs).	Validiert das Update, erkennt eventuelle Inkompatibilitäten mit Unternehmens-Apps oder Hardware‑Spezifika.
Update‑Policy & Wartungsfenster	1. Festlegen eines „Wartungsfensters“, in welchem die wenigsten Nutzer gestört werden, das IT-Team jedoch bereit ist, auf unvorhergesehenes zu reagieren. 2. Nicht Freitags.	Minimiert Nutzer‑Downtime, hält die Update‑Rate kontrollierbar und ermöglicht schnelle Reaktion bei Problemen.
Benutzer-Kommunikation	1. Benachrichtigung der Nutzer, mit Update‑Informationen (Datum, Dauer, erwartete Neustart). 2. FAQ bereitstellen: „Was passiert nach dem Update?“, „Wie kann ich prüfen, ob mein Gerät aktualisiert wurde?“ 3. Support‑Kontakt einbinden für Fragen.	Transparenz reduziert Nutzerfrustration und erhöht Akzeptanz des Rollouts.
OTA‑Update senden	1. Update über MDM‑Server anweisen 2. Status der Aktualisierungen überprüfen	Gewährleistet Verteilung und Erfolg des Updates
Geräteüberprüfung	Überprüfung der Gerätefunktion und des Gerätestatus (Gerätelog‑ und Crash‑Reports analysieren, ggf. MDM‑Logs).	Validiert das Update, erkennt eventuelle Inkompatibilitäten bisher unbemerkter Probleme mit Unternehmens-Apps oder Hardware‑Spezifika.
Reaktionsplan für Geräte ohne Compliance	1. Geräte, die nicht den Patch‑Level erreicht haben, z.B. vom VPN- oder WLAN‑Zugriff ausschließen (Conditional‑Access‑Policy).	Verhindert potenziellen Datenverlust bzw. Ausnutzung der CVEs durch nicht gepatchte Geräte.

Weitere Informationen zu den Sicherheitslücken und dem Update

Google stellt auf der Seite des Android-Sicherheitsbulletins weitere Informationen zur Verfügung.

Zusammenfassung

Die beiden CVEs (CVE‑2025‑48593, CVE‑2025‑48581) stellen ein erhebliches Sicherheitsrisiko dar.

Google hat für Android 13–16 einen Patch im November 2025 veröffentlicht; dieser sollte schnellstmöglichst installiert werden.

Mit einer strukturierten MDM‑Strategie (Pilot‑Deploy, Wartungsfenster, Resultat-Überprüfung) lässt sich die Update‑Bereitstellung sicher und effizient durchführen.

Dokumentation zur Geräteeinschreibung für Android-Geräte in Unternehmensbesitz zur ausschließlichen Verwendung für Unternehmenszwecke, vollständig verwaltet (Corporate Owned, Business Only - COBO) in datomo MDM.

Dokumentation zur Geräteeinschreibung für Android-Geräte in Unternehmensbesitz zur ausschließlichen Verwendung für Unternehmenszwecke mit einer / wenigen Funktionen (Corporate Owned, Single Use - COSU, auch KIOSK-Modus) in datomo MDM.

Dokumentation zur Geräteeinschreibung für private Android-Geräte mit Arbeitsprofil (WPC) in datomo MDM.

Dokumentation zur Geräteeinschreibung für private Android-Geräte mit Arbeitsprofil (Modus Bring your Own Device - BYOD) in datomo MDM.

Dokumentation zur Massen-Geräteeinschreibung mit Samsung Knox Mobile Enrollment (KME) in datomo MDM.