Citrix Endpoint Management

Optionen der Benutzerregistrierung

Es gibt mehrere Verfahren, mit denen Benutzer ihre Geräte bei Endpoint Management registrieren können. Bevor Sie Einzelheiten überlegen, entscheiden Sie, welche Geräte Sie bei MDM+MAM, MDM oder MAM registrieren möchten. Weitere Informationen über diese Verwaltungsmodi finden Sie unter Verwaltungsmodi.

Auf der höchsten Stufe gibt es vier Registrierungsoptionen:

  • Registrierungseinladung: Senden Sie Benutzern eine Registrierungseinladung oder einen Einladungslink.
  • Selbsthilfeportal: Richten Sie ein Portal ein, über das Benutzer Secure Hub herunterladen und ihre Geräte registrieren oder sich selbst eine Registrierungseinladung senden können.
  • Manuelle Registrierung: Informieren Sie Benutzer per E-Mail, Handbuch oder auf anderem Wege, dass das System betriebsbereit ist und dass sie sich registrieren können. Benutzer laden dann Secure Hub herunter und registrieren ihre Geräte manuell.
  • Unternehmen: Weitere Optionen für die Geräteregistrierung sind das Deployment Program von Apple sowie Android Enterprise von Google. Über jedes dieser Programme können Sie vorkonfigurierte Geräte erwerben, die sofort einsatzbereit sind. Weitere Informationen finden Sie in den Artikeln zum Deployment Program von Apple beim Apple-Support und in der Dokumentation zu Google Android Enterprise auf der Android Enterprise-Website.

Registrierungseinladung

Sie können per E-Mail eine Registrierungseinladung an Benutzer mit iOS-, macOS- und Android-Geräten senden. Sie können auch einen Installationslink über SMTP oder SMS an Benutzer mit iOS-, macOS-, Android- oder Windows-Geräten senden. Weitere Informationen finden Sie unter Registrieren von Geräten.

Wenn Sie Registrierungseinladungen verwenden, können Sie:

  • je nach Plattform aus bis zu sieben Anmeldungsmodi wählen.
  • die Modi in beliebiger Kombination verwenden.
  • die Modi auf der Seite Einstellungen von Endpoint Management aktivieren oder deaktivieren.
  • einen Standardwert aus den Einstellungen “Benutzername + Kennwort”, “Zweistufig” und “Benutzername + PIN” auswählen. Weitere Informationen zu jedem Registrierungsmodus finden Sie unter Konfigurieren von Registrierungsmodi.

Wenn Sie “Zertifikatbasiert” wählen, sollten Sie die traditionelle Authentifizierung “Benutzername + Kennwort” von den zulässigen Optionen ausschließen. Die Authentifizierung mit Benutzernamen + Kennwort könnte einen schwachen Onboardingvektor in Ihre Umgebung freilegen und möglicherweise die vorgeschriebene Sicherheitsqualität ungültig machen.

Einladungen erfüllen viele Zwecke. Ihre häufigste Verwendung besteht darin, Benutzer zu benachrichtigen, dass das System verfügbar ist und sie sich registrieren können. Einladungs-URLs sind eindeutig. Nachdem ein Benutzer eine Einladungs-URL verwendet hat, ist die URL nicht mehr verfügbar. Nutzen Sie diese Eigenschaft zur Einschränkung der Benutzer oder Geräte, die sich im System registrieren.

Sie können in Endpoint Management festlegen, dass Benutzer von iOS-Geräten bei der Registrierung ihre Anmeldeinformationen eingeben und dafür eins der folgenden Verfahren nutzen:

  • Benutzer geben ihre Anmeldeinformationen bei der Registrierung ein.

  • Benutzer geben eine Smartcard mit abgeleiteten Anmeldeinformationen in ein am Desktop angeschlossenes Lesegerät ein. Informationen zu abgeleiteten Anmeldeinformationen finden Sie unter Abgeleitete Anmeldeinformationen.

Beim Konfigurieren eines Registrierungsprofils können Sie die Anzahl der Geräte steuern, die bestimmte Benutzer registrieren können, basierend auf Active Directory-Gruppen. Beispielsweise könnten Sie für die Finanzabteilung nur ein Gerät pro Benutzer zulassen.

Berücksichtigen Sie zusätzlich entstehende Kosten und mögliche Risiken bestimmter Registrierungsoptionen. Der Versand von Einladungen per SMS erfordert zusätzliche Infrastruktur. Weitere Informationen zu dieser Option finden Sie unter Benachrichtigungen.

Wenn Sie Registrierungseinladungen per E-Mail senden möchten, müssen Sie außerdem sicherstellen, dass die Benutzer außerhalb von Secure Hub auf ihre E-Mails zugreifen können. Verwenden Sie gegebenenfalls Registrierungsmodi mit Einmalkennwort (OTP) als Alternative zu Active Directory-Kennwörtern für die MDM-Registrierung.

Selbsthilfeportal

Die Benutzer können eine Registrierungseinladung über das Selbsthilfeportal anfordern. Der Standardmodus ist “Benutzername + Kennwort”, Sie können diese Anforderung jedoch in “Zweistufige Authentifizierung” oder “Benutzername + PIN” ändern. Weitere Informationen zum Einrichten des Selbsthilfeportals finden Sie unter Konfigurieren von Registrierungsmodi.

Manuelle Registrierung

Bei einer manuellen Registrierung verbinden sich Benutzer über AutoDiscovery oder über Eingabe der Serverinformationen mit Endpoint Management. Bei Verwendung von AutoDiscovery benötigen Benutzer für die Anmeldung nur ihre E-Mail-Adresse oder die Active Directory-Anmeldeinformationen im UPN-Format (Benutzerprinzipalname). Ohne AutoDiscovery müssen sie die Serveradresse und ihre Active Directory-Anmeldeinformationen eingeben. Weitere Informationen zum Einrichten von AutoDiscovery finden Sie unter Einrichten von Endpoint Management AutoDiscovery Service.

Es gibt mehrere Möglichkeiten, die manuelle Registrierung einfacher zu gestalten. Sie können eine Anleitung erstellen und diese an Benutzer verteilen, damit sie sich selbst registrieren. Sie können Ihre IT-Abteilung beauftragen, Benutzergruppen in bestimmten Zeitfenstern manuell zu registrieren. Sie können jede andere Methode verwenden, bei der Benutzer ihre Anmelde- oder Serverinformationen eingeben müssen.

Onboarding von Benutzern

Nach dem Einrichten Ihrer Umgebung müssen Sie festlegen, wie Sie Benutzer in die Umgebung aufnehmen. Weiter oben wurden bereits die einzelnen Registrierungsmodi für Benutzer erläutert. In diesem Abschnitt wird beschrieben, wie Sie Benutzer erreichen können.

Offene Registrierung vs. Selektive Einladung

Beim Onboarding von Benutzern können Sie die Registrierung über zwei grundlegende Methoden zulassen:

  • Offene Registrierung. Standardmäßig kann sich jeder Benutzer mit LDAP-Anmeldeinformationen und den Endpoint Management-Umgebungsinformationen registrieren.
  • Eingeschränkte Registrierung. Sie können die Anzahl der Benutzer einschränken, indem sich nur eingeladene Benutzer registrieren können. Sie können auch die offene Registrierung nach Active Directory-Gruppe einschränken.

Bei Verwendung einer Einladung können Sie auch die Anzahl der Geräte beschränken, die ein Benutzer registrieren kann. In den meisten Situationen ist eine offene Registrierung zulässig, es sind jedoch folgende Punkte zu berücksichtigen:

  • Für MAM können Sie die Registrierung problemlos über die Active Directory-Gruppenmitgliedschaft beschränken.
  • Für MDM können Sie die Registrierung nur einschränken, indem Sie auf Basis der Active Directory-Gruppenmitgliedschaft die Anzahl der Geräte beschränken, die registriert werden können. Wenn Sie nur Unternehmensgeräte in Ihrer Umgebung zulassen, ist diese Einschränkung in der Regel unerheblich. Die Methode könnte sich jedoch für BYOD-Arbeitsbereiche eignen, wo Sie die Anzahl der Geräte in Ihrer Umgebung einschränken möchten.

Die selektive Einladung wird in der Regel seltener verwendet, da sie mehr Aufwand erfordert als eine offene Registrierung. Damit Benutzer ihre Geräte in Ihrer Umgebung registrieren können, müssen Sie an jeden Benutzer eine separate Einladung senden. Informationen zum Senden von Registrierungseinladungen finden Sie unter Registrierungseinladungen.

Senden Sie eine Einladung für jeden Benutzer oder jede Gruppe, die sich in Ihrer Umgebung registrieren sollen. Dieser Prozess kann je nach Größe Ihrer Organisation sehr lange dauern. Es ist möglich, Einladungen mithilfe von Active Directory-Gruppen zu bündeln, dies muss jedoch gestaffelt erfolgen.

Erster Kontakt mit Benutzern

Nachdem Sie entschieden haben, ob Sie eine offene Registrierung oder eine selektive Einladung verwenden möchten, und Sie diese Umgebungen eingerichtet haben, informieren Sie die Benutzer über ihre Anmeldungsoptionen.

Beim selektiven Einladungsverfahren sind E-Mail- und SMS-Nachrichten Teil des Verfahrens. Auch bei der offenen Registrierung können Sie E-Mails über die Endpoint Management-Konsole senden. Einzelheiten finden Sie unter Registrierungseinladungen.

Bedenken Sie in beiden Fällen, dass Sie für E-Mails einen SMTP-Server benötigen. Für Textnachrichten benötigen Sie einen SMS-Server. Ein solcher Server kann zusätzliche Kosten verursachen, die bei der Entscheidung zu berücksichtigen sind. Sie sollten vor der Wahl eines Verfahrens bedenken, auf welche Weise neue Benutzer auf Informationen wie E-Mail zugreifen. Wenn alle Benutzer über Endpoint Management auf ihre E-Mail zugreifen, ist das Senden einer Einladung per E-Mail problematisch.

Sie können für eine offene Registrierungsumgebung die Benachrichtigungen auch auf andere Weise außerhalb von Endpoint Management senden. Achten Sie bei dieser Option darauf, alle relevanten Informationen einzubeziehen. Teilen Sie den Benutzern mit, wo sie die Secure Hub App erhalten und welche Methode für die Registrierung verwendet werden soll. Wenn Sie die Discovery deaktiviert haben, müssen Sie den Benutzern auch die Endpoint Management-Serveradresse mitteilen. Weitere Informationen zur Discovery finden Sie unter Einrichten von Endpoint Management AutoDiscovery Service.

Optionen der Benutzerregistrierung