Optionen der Benutzerregistrierung

Es gibt mehrere Verfahren, mit denen Benutzer ihre Geräte bei Endpoint Management registrieren können. Bevor Sie die Einzelheiten ausarbeiten, entscheiden Sie, ob Geräte sich im MDM+MAM- oder im MDM-Modus (auch Nur-MAM-Modus bezeichnet) in Ihrer Umgebung registrieren sollen Weitere Informationen über die Verwaltungsmodi finden Sie unter Verwaltungsmodi.

Auf der höchsten Stufe gibt es vier Registrierungsoptionen:

  • Registrierungseinladung: Senden Sie Benutzern eine Registrierungseinladung oder einen Einladungslink.
  • Selbsthilfeportal: Richten Sie ein Portal ein, über das Benutzer Secure Hub herunterladen und ihre Geräte registrieren oder sich selbst eine Registrierungseinladung senden können.
  • Manuelle Registrierung: Informieren Sie Benutzer per E-Mail, Handbuch oder auf anderem Wege, dass das System betriebsbereit ist und dass sie sich registrieren können. Benutzer laden dann Secure Hub herunter und registrieren ihre Geräte manuell.
  • Unternehmen: Weitere Optionen für die Geräteregistrierung sind das Device Enrollment Program (DEP) von Apple sowie Android Enterprise von Google. Über jedes dieser Programme können Sie vorkonfigurierte Geräte erwerben, die sofort einsatzbereit sind. Weitere Informationen finden Sie unter Apple Device Enrollment Program (DEP) und Google Android Enterprise.

Registrierungseinladung

Sie können per E-Mail eine Registrierungseinladung an Benutzer mit iOS-, macOS- und Android-Geräten senden. Sie können auch einen Installationslink über SMTP oder SMS an Benutzer mit iOS-, macOS-, Android- oder Windows-Geräten senden. Weitere Informationen finden Sie unter Registrieren von Geräten.

Wenn Sie sich für das Verfahren mit Registrierungseinladung entscheiden, stehen Ihnen je nach Plattform bis zu sieben Registrierungsmodi zur Verfügung, die Sie auf beliebige Weise kombinieren können. Sie können die Modi über die Endpoint Management-Einstellungen aktivieren oder deaktivieren und als Authentifizierungsstandard die Option “Benutzername + Kennwort”, “zweistufige Authentifizierung” oder “Benutzername + PIN” wählen. Weitere Informationen zu jedem Registrierungsmodus finden Sie unter Konfigurieren von Registrierungsmodi.

Wenn Sie zertifikatbasiert wählen, sollten Sie die traditionelle Authentifizierung von Benutzername + Kennwort von den zulässigen Optionen ausschließen. Die Authentifizierung mit Benutzername + Kennwort könnte einen schwachen Onboardingvektor in Ihre Umgebung freilegen und möglicherweise die vorgeschriebene Sicherheitsqualität ungültig machen.

Einladungen erfüllen viele Zwecke. Ihre häufigste Verwendung besteht darin, Benutzer zu benachrichtigen, dass das System verfügbar ist und sie sich registrieren können. Einladungs-URLs sind eindeutig. Nachdem ein Benutzer eine Einladungs-URL verwendet hat, kann die URL nicht wieder verwendet werden. Nutzen Sie diese Eigenschaft zur Einschränkung der Benutzer oder Geräte, die sich im System registrieren.

Sie können in Endpoint Management festlegen, dass Benutzer von iOS-Geräten bei der Registrierung ihre Anmeldeinformationen eingeben und dafür eins der folgenden Verfahren nutzen:

  • Benutzer geben ihre Anmeldeinformationen bei der Registrierung ein.

  • Benutzer geben eine Smartcard mit abgeleiteten Anmeldeinformationen in ein am Desktop angeschlossenes Lesegerät ein. Informationen zu abgeleiteten Anmeldeinformationen finden Sie unter Abgeleitete Anmeldeinformationen.

In der Endpoint Management-Konsole können Sie auch die Option für Registrierungsprofile auswählen. Mit dieser Option können Sie die Anzahl der Geräte steuern, die bestimmte Benutzer registrieren können, basierend auf Active Directory-Gruppen. Wenn Sie beispielsweise für die Finanzabteilung nur ein Gerät pro Benutzer zulassen möchten, können Sie dieses Szenario über Registrierungsprofile konfigurieren.

Berücksichtigen Sie zusätzlich entstehende Kosten und mögliche Risiken bestimmter Registrierungsoptionen. Um Einladungen über SMS zu senden, müssen Sie eine zusätzliche Infrastruktur einrichten. Weitere Informationen zu dieser Option finden Sie unter Benachrichtigungen.

Wenn Sie Registrierungseinladungen per E-Mail senden möchten, müssen Sie sicherstellen, dass Benutzer in der Lage sind, außerhalb von Secure Hub auf ihre E-Mails zuzugreifen. Verwenden Sie gegebenenfalls Registrierungsmodi mit Einmalkennwort (OTP) als Alternative zu Active Directory-Kennwörtern für die MDM-Registrierung.

Selbsthilfeportal

Benutzer können eine Registrierungseinladung über das Selbsthilfeportal anfordern. Der Standardmodus ist “Benutzername + Kennwort”, Sie können diese Anforderung jedoch in “zweistufige Authentifizierung” oder “Benutzername + PIN” ändern. Weitere Informationen über das Einrichten des Selbsthilfeportals finden Sie unter Konfigurieren von Registrierungsmodi.

Manuelle Registrierung

Bei einer manuellen Registrierung verbinden sich Benutzer über Autodiscovery oder über Eingabe der Serverinformationen mit Endpoint Management. Bei Verwendung von Autodiscovery benötigen Benutzer für die Anmeldung am Server nur ihre E-Mail-Adresse oder die Active Directory-Anmeldeinformationen im UPN-Format (Benutzerprinzipalname). Ohne Autodiscovery müssen sie die Serveradresse und ihre Active Directory-Anmeldeinformationen eingeben. Weitere Informationen zum Einrichten von Autodiscovery finden Sie unter Einrichten von Endpoint Management AutoDiscovery Service.

Es gibt mehrere Möglichkeiten, die manuelle Registrierung einfacher zu gestalten. Sie können eine Anleitung erstellen und diese an Benutzer verteilen, damit sie sich selbst registrieren. Sie können Ihre IT-Abteilung beauftragen, Benutzergruppen in bestimmten Zeitfenstern manuell zu registrieren. Sie können jede andere Methode verwenden, bei der Benutzer ihre Anmelde- und/oder Serverinformationen eingeben müssen.

Onboarding von Benutzern

Nach dem Einrichten Ihrer Umgebung müssen Sie festlegen, wie Sie Benutzer in die Umgebung aufnehmen. Weiter oben wurden bereits die einzelnen Registrierungsmodi für Benutzer erläutert. In diesem Abschnitt wird beschrieben, wie Sie Benutzer erreichen können.

Offene Registrierung vs. Selektive Einladung

Beim Onboarding von Benutzern stehen Ihnen zwei Grundverfahren für die Registrierung zur Verfügung: Sie können zum einen eine offene Registrierung zulassen, bei der alle Benutzer mit LDAP-Anmeldeinformationen und Endpoint Management-Umgebungsinformationen sich standardmäßig registrieren können. Sie können die Anzahl der Benutzer jedoch auch einschränken, indem sich nur eingeladene Benutzer registrieren können. Sie können auch die offene Registrierung nach Active Directory-Gruppe einschränken.

Bei Verwendung einer Einladung können Sie auch die Anzahl der Geräte beschränken, die ein Benutzer registrieren kann. In den meisten Situationen ist eine offene Registrierung zulässig, es sind jedoch folgende Punkte zu berücksichtigen:

  • Bei Bereitstellung einer MAM-Umgebung können Sie die Registrierung problemlos über die Active Directory-Gruppenmitgliedschaft beschränken.
  • In einer MDM-Umgebung können Sie die Registrierung nur einschränken, indem Sie auf Basis der Active Directory-Gruppenmitgliedschaft die Anzahl der Geräte beschränken, die registriert werden können. Wenn Sie nur Unternehmensgeräte in Ihrer Umgebung zulassen, sollte diese Beschränkung nicht erforderlich sein. Die Methode könnte sich jedoch für BYOD-Arbeitsbereiche eignen, wo Sie die Anzahl der Geräte in Ihrer Umgebung einschränken möchten.
  • Berücksichtigen Sie auch, ob Sie Benutzer- oder Gerätelizenzen haben. Bei Benutzerlizenzen kann jeder Benutzer mit nur einer Lizenz mehrere Geräte verwenden. Bei Gerätelizenzen ist für jedes registrierte Gerät eine Lizenz erforderlich.

Die selektive Einladung wird in der Regel seltener verwendet, da sie mehr Aufwand erfordert als eine offene Registrierung. Damit Benutzer ihre Geräte in Ihrer Umgebung registrieren können, müssen Sie an jeden Benutzer eine separate Einladung senden. Informationen zum Senden von Registrierungseinladungen finden Sie unter Registrierungseinladungen.

Sie müssen eine Einladung für jeden Benutzer oder jede Gruppe senden, die sich in Ihrer Umgebung registrieren sollen. Dieser Prozess kann je nach Größe Ihrer Organisation sehr lange dauern. Es ist möglich, Einladungen mithilfe von Active Directory-Gruppen zu bündeln, dies muss jedoch gestaffelt erfolgen.

Erster Kontakt mit Benutzern

Nachdem Sie entschieden haben, ob Sie eine offene Registrierung oder eine selektive Einladung verwenden möchten, und Sie diese Umgebungen eingerichtet haben, informieren Sie die Benutzer über ihre Anmeldungsoptionen.

Beim selektiven Einladungsverfahren sind E-Mail- und SMS-Nachrichten Teil des Verfahrens. Auch bei der offenen Registrierung können Sie E-Mails über die Endpoint Management-Konsole senden. Einzelheiten finden Sie unter Registrierungseinladungen.

Bedenken Sie in beiden Fällen, dass Sie für E-Mails einen SMTP-Server benötigen. Für Textnachrichten benötigen Sie einen SMS-Server. Dies kann zusätzliche Kosten verursachen, die bei der Entscheidung zu berücksichtigen sind. Darüber hinaus sollten Sie vor der Wahl eines Verfahrens bedenken, auf welche Weise neue Benutzer auf Informationen wie E-Mail zugreifen. Wenn alle Benutzer über Endpoint Management auf ihre E-Mail zugreifen, ist das Senden einer Einladung per E-Mail problematisch.

Sie können für eine offene Registrierungsumgebung die Benachrichtigungen auch auf andere Weise außerhalb von Endpoint Management senden. Geben Sie für diese Option alle relevanten Informationen an, z. B. wo Benutzer die Secure Hub-App erhalten können und welche Methode sie für die Registrierung verwenden sollten. Wenn Sie die Discovery deaktiviert haben, müssen Sie Benutzern auch die Endpoint Management-Serveradresse mitteilen. Weitere Informationen zur Discovery finden Sie unter Einrichten von Endpoint Management AutoDiscovery Service](/de-de/citrix-endpoint-management/device-management.html).