Optionen der Benutzerregistrierung

Es gibt mehrere Verfahren, mit denen Benutzer ihre Geräte bei XenMobile registrieren können. Bevor Sie die Einzelheiten überdenken, müssen Sie entscheiden, ob Geräte sich im Enterprise-Modus (MDM + MAM), im MDM-Modus oder im MAM-Modus (auch als Nur-MAM-Modus bezeichnet) in Ihrer Umgebung registrieren. Weitere Informationen über die Verwaltungsmodi finden Sie unter Verwaltungsmodi.

Auf der höchsten Stufe gibt es vier Registrierungsoptionen:

  • Registrierungseinladung: Senden Sie Benutzern eine Registrierungseinladung oder einen Einladungslink.
  • Selbsthilfeportal: Richten Sie ein Portal ein, über das Benutzer Secure Hub herunterladen und ihre Geräte registrieren oder sich selbst eine Registrierungseinladung senden können.
  • Manuelle Registrierung: Informieren Sie Benutzer per E-Mail, Handbuch oder auf anderem Wege, dass das System betriebsbereit ist und dass sie sich registrieren können. Benutzer laden dann Secure Hub herunter und registrieren ihre Geräte manuell.
  • Unternehmen: Weitere Optionen für die Geräteregistrierung sind das Device Enrollment Program (DEP) von Apple sowie Android for Work von Google. Über jedes dieser Programme können Sie vorkonfigurierte Geräte erwerben, die sofort einsatzbereit sind. Weitere Informationen finden Sie unter Apple Device Enrollment Program (DEP) und Google Android for Work.

Registrierungseinladung

Sie können per E-Mail eine Registrierungseinladung an Benutzer mit iOS-, macOS- und Android-Geräten senden. Sie können auch einen Installationslink über SMTP oder SMS an Benutzer mit iOS-, macOS-, Android- oder Windows-Geräten senden. Weitere Informationen finden Sie unter Registrieren von Geräten.

Wenn Sie sich für das Verfahren mit Registrierungseinladung entscheiden, stehen Ihnen je nach Plattform bis zu sieben Registrierungsmodi zur Verfügung, die Sie auf beliebige Weise kombinieren können. Sie können die Modi über die XenMobile-Einstellungen aktivieren oder deaktivieren und als Authentifizierungsstandard die Option “Benutzername + Kennwort”, “zweistufige Authentifizierung” oder “Benutzername + PIN” wählen. Weitere Informationen zu jedem Registrierungsmodus finden Sie unter Konfigurieren von Registrierungsmodi.

Bei Auswahl eines zertifikatbasierten Verfahrens sollten Sie unter Umständen die herkömmliche Authentifizierung über “Benutzername + Kennwort” ausschließen, da dieser Modus eine Schwachstelle verursachen und die Sicherheit Ihrer Umgebung gefährden kann.

Einladungen erfüllen viele Zwecke. Ihre häufigste Verwendung besteht darin, Benutzer zu benachrichtigen, dass das System verfügbar ist und sie sich registrieren können. Einladungs-URLs können nur einmal genutzt werden. Sobald ein Benutzer eine Einladungs-URL eingesetzt hat, kann die URL nicht erneut verwendet werden. Nutzen Sie diese Eigenschaft zur Einschränkung der Benutzer oder Geräte, die sich im System registrieren.

Sie können in XenMobile festlegen, dass Benutzer von iOS-Geräten bei der Registrierung ihre Anmeldeinformationen eingeben und dafür eins der folgenden Verfahren nutzen:

  • Benutzer geben ihre Anmeldeinformationen bei der Registrierung ein.

  • Benutzer geben eine Smartcard mit abgeleiteten Anmeldeinformationen in ein am Desktop angeschlossenes Lesegerät ein. Weitere Informationen zu abgeleiteten Anmeldeinformationen finden Sie unter Abgeleitete Anmeldeinformationen für iOS.

In der XenMobile-Konsole können Sie auch die Option für Registrierungsprofile auswählen und dann auf der Basis von Active Directory-Gruppen festlegen, wie viele Geräte bestimmte Benutzer registrieren können. Wenn Sie beispielsweise für die Finanzabteilung nur ein Gerät pro Benutzer zulassen möchten, können Sie dieses Szenario über Registrierungsprofile konfigurieren.

Berücksichtigen Sie zusätzlich entstehende Kosten und mögliche Risiken bestimmter Registrierungsoptionen. Um Einladungen über SMS zu senden, müssen Sie eine zusätzliche Infrastruktur einrichten. Weitere Informationen zu dieser Option finden Sie unter Benachrichtigungen.

Wenn Sie Registrierungseinladungen per E-Mail senden möchten, müssen Sie sicherstellen, dass Benutzer in der Lage sind, außerhalb von Secure Hub auf ihre E-Mails zuzugreifen. Verwenden Sie gegebenenfalls Registrierungsmodi mit Einmalkennwort (OTP) als Alternative zu Active Directory-Kennwörtern für die MDM-Registrierung. Beachten Sie, dass OTP nur für iOS- und Android-Geräte verfügbar ist und auf Windows-Geräten bislang nicht genutzt werden kann.

Selbsthilfeportal

Benutzer können eine Registrierungseinladung über das Selbsthilfeportal anfordern. Der Standardmodus ist “Benutzername + Kennwort”, Sie können diese Anforderung jedoch in “zweistufige Authentifizierung” oder “Benutzername + PIN” ändern. Weitere Informationen über das Einrichten des Selbsthilfeportals finden Sie unter Konfigurieren von Registrierungsmodi.

Manuelle Registrierung

Bei einer manuellen Registrierung verbinden sich Benutzer über Autodiscovery oder über Eingabe der Serverinformationen mit XenMobile. Bei Verwendung von Autodiscovery benötigen Benutzer für die Anmeldung am Server nur ihre E-Mail-Adresse oder die Active Directory-Anmeldeinformationen im UPN-Format (Benutzerprinzipalname). Ohne Autodiscovery müssen sie die Serveradresse und ihre Active Directory-Anmeldeinformationen eingeben. Weitere Informationen zum Einrichten von Autodiscovery finden Sie unter XenMobile Autodiscovery Service.

Es gibt mehrere Möglichkeiten, die manuelle Registrierung einfacher zu gestalten. Sie können eine Anleitung erstellen und diese an Benutzer verteilen, damit sie sich selbst registrieren. Sie können Ihre IT-Abteilung beauftragen, Benutzergruppen in bestimmten Zeitfenstern manuell zu registrieren. Sie können jede andere Methode verwenden, bei der Benutzer ihre Anmelde- und/oder Serverinformationen eingeben müssen.

Onboarding von Benutzern

Nach dem Einrichten Ihrer Umgebung müssen Sie festlegen, wie Sie Benutzer in die Umgebung aufnehmen. Weiter oben wurden bereits die einzelnen Registrierungsmodi für Benutzer erläutert. In diesem Abschnitt wird beschrieben, wie Sie Benutzer erreichen können.

Offene Registrierung vs. Selektive Einladung

Beim Onboarding von Benutzern stehen Ihnen zwei Grundverfahren für die Registrierung zur Verfügung: Sie können zum einen eine offene Registrierung zulassen, bei der alle Benutzer mit LDAP-Anmeldeinformationen und XenMobile-Umgebungsinformationen sich standardmäßig registrieren können. Sie können die Anzahl der Benutzer jedoch auch einschränken, indem sich nur eingeladene Benutzer registrieren können. Sie können auch die offene Registrierung nach Active Directory-Gruppe einschränken.

Bei Verwendung einer Einladung können Sie auch die Anzahl der Geräte beschränken, die ein Benutzer registrieren kann. In den meisten Situationen ist eine offene Registrierung zulässig, es sind jedoch folgende Punkte zu berücksichtigen:

  • Bei Bereitstellung einer MAM-Umgebung können Sie die Registrierung problemlos über die Active Directory-Gruppenmitgliedschaft beschränken.
  • In einer MDM-Umgebung können Sie die Registrierung nur einschränken, indem Sie auf Basis der Active Directory-Gruppenmitgliedschaft die Anzahl der Geräte beschränken, die registriert werden können. Wenn Sie nur Unternehmensgeräte in Ihrer Umgebung zulassen, sollte dies nicht erforderlich sein. Die Methode könnte sich jedoch für BYOD-Arbeitsbereiche eignen, wo Sie die Anzahl der Geräte in Ihrer Umgebung einschränken möchten.
  • Berücksichtigen Sie auch, ob Sie Benutzer- oder Gerätelizenzen haben. Bei Benutzerlizenzen kann jeder Benutzer mit nur einer Lizenz mehrere Geräte verwenden. Bei Gerätelizenzen ist für jedes registrierte Gerät eine Lizenz erforderlich.

Die selektive Einladung wird in der Regel seltener verwendet, da sie mehr Aufwand erfordert als eine offene Registrierung. Damit Benutzer ihre Geräte in Ihrer Umgebung registrieren können, müssen Sie an jeden Benutzer eine separate Einladung senden. Hinweise zum Senden von Registrierungseinladungen finden Sie unter Senden von Registrierungseinladungen.

Sie müssen an jeden Benutzer oder jede Gruppe, die Sie in Ihrer Umgebung registrieren möchten, eine eigene Einladung senden. Dies kann je nach Größe Ihrer Organisation sehr zeitaufwändig sein. Es ist möglich, Einladungen mithilfe von Active Directory-Gruppen zu bündeln, dies muss jedoch gestaffelt erfolgen.

Erster Kontakt mit Benutzern

Nachdem Sie sich für die offene Registrierung bzw. selektive Einladung entschieden und Ihre Umgebung entsprechend eingerichtet haben, müssen Sie Benutzer über ihre Registrierungsoptionen informieren.

Beim selektiven Einladungsverfahren sind E-Mail- und SMS-Nachrichten Teil des Verfahrens. Auch bei der offenen Registrierung können Sie E-Mails über die XenMobile-Konsole senden. Weitere Einzelheiten finden Sie unter Senden von Registrierungseinladungen.

Bedenken Sie in beiden Fällen, dass Sie für E-Mails einen SMTP-Server benötigen. Für Textnachrichten benötigen Sie einen SMS-Server. Dies kann zusätzliche Kosten verursachen, die bei der Entscheidung zu berücksichtigen sind. Darüber hinaus sollten Sie vor der Wahl eines Verfahrens bedenken, auf welche Weise neue Benutzer auf Informationen wie E-Mail zugreifen. Wenn alle Benutzer über XenMobile auf ihre E-Mail zugreifen, ist das Senden einer Einladung per E-Mail problematisch.

Für Umgebungen mit offener Registrierung können Sie auch Kommunikationsformen außerhalb von XenMobile verwenden, sofern Benutzer alle relevanten Informationen erhalten, zum Beispiel, wo sie die Secure Hub-App erhalten und mit welcher Methode sie sich registrieren sollen. Wenn Sie Autodiscovery deaktiviert haben, müssen Sie Benutzern auch die XenMobile-Serveradresse mitteilen. Weitere Informationen zu Autodiscovery finden Sie unter XenMobile Autodiscovery Service.

Optionen der Benutzerregistrierung